Nieuws
image

Ernstig cookie lek op bekende websites

dinsdag 11 september 2007, 11:59 door Redactie, 3 reacties

Bekende websites zoals Gmail, Hotmail, eBay, MySpace en vele andere, versturen hun cookies nog steeds op een onveilige manier, waardoor een aanvaller accountgegevens kan stelen en als zijn slachtoffer kan inloggen. Volgens het Amerikaanse Computer Emergency Readiness Team (CERT) versturen sommige websites authenticatie materiaal, zoals cookies, zonder de hele sessie te versleutelen, zelfs als de login in eerste instantie via HTTPS verliep.

Hierdoor kan een aanvaller op het, meestal draadloze, netwerk de logingegevens bemachtigen. Websites die authenticatie cookies tijdens het inloggen via HTTPS plaatsen, en later de cookies via HTTP versturen, zijn met name kwetsbaar, aangezien de gebruiker denkt dat de beveiliging van de loginpagina voor de gehele sessie geldt. Hoe eenvoudig dit lek te misbruiken is werd begin augustus al gedemonstreerd. Het CERT geeft verschillende oplossingen, zoals HTTPS voor de gehele sessie instellen of het niet bezoeken van kwetsbare websites op een onbetrouwbaar netwerk.

Reacties (3)
11-09-2007, 14:48 door spatieman
jakkes!!
das dus echt kreepie
11-09-2007, 17:22 door [Account Verwijderd]
[Verwijderd]
11-09-2007, 20:58 door Anoniem
Dit is echt oud nieuws, het is al veel en veel langer bekend
dat niet alle content van bijvoorbeeld hotmail versleuteld
verstuurd wordt. Daarsnaast gaat niet om een kwetsbaarheid
maar om een slecht website ontwerp en presentatie hiervan.

Als je wilt dat je mail versleuteld wordt moet je gewoon je
mail zelf versleutelen en de versleutelde text in je webmail
plakken. Dat is zowieso veel beter dan vertrouwen op deze
diensten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure