Het recent onthulde beveiligingslek in het SSL-protocol is gevaarlijker dan in eerste instantie werd aangenomen, het laat aanvallers ook vertrouwelijke gegevens zoals cookies en andere inloggegevens stelen. Via de aanval is het mogelijk om data aan een versleutelde HTTPS transactie toe te voegen. De impact van het lek is echter vergelijkbaar met een andere bekende kwetsbaarheid, genaamd Cross Site Request Forgery (CSRF). Verder onderzoek wijst uit dat dit niet helemaal het geval is. "Ik noemde deze aanvallen applicatie specifiek en esoterisch. Helaas is de situatie erger dan gedacht", zegt Tom Cross van IBM's Internet Security Systems (ISS).

Als een webapplicatie gebruikers toestaat willekeurige data op te slaan of te versturen van een post request naar een locatie waar de gebruiker het later kan ophalen, kan een aanvaller het HTTP request als een post "prefixen" en dan teruglezen. Daarmee krijgt de aanvaller toegang tot gevoelige informatie, zoals cookies en inloggegevens. Beveiligingsonderzoeker An?l Kurmu? demonstreerde hoe hij het Twitter request van een slachtoffer naar zijn eigen Twitter feed poste, waarmee hij toegang tot het wachtwoord van het slachtoffer kreeg.

OpenSSL
"Veel webapplicaties laten gebruikers willekeurige data opslaan en versturen", gaat Cross verder. Het duidelijkste voorbeeld is webmail. Een aanvaller zou in principe zichzelf een cookie van het slachtoffer kunnen mailen. "Webmail inloggegevens zijn een populair doelwit op onbeveiligde draadloze netwerken." Volgens Cross zijn er ook nog andere mogelijkheden met dit lek die nog ontdekt moeten worden. "En natuurlijk is HTTPS niet het enige protocol dat SSL gebruikt." Inmiddels is OpenSSL 0.9.8I verschenen die renegotiation uitschakelt, wat voor de meeste applicaties geschikt is. Inmiddels zou Twitter het al hebben toegepast en is het niet meer mogelijk om op de manier van Kurmu? wachtwoorden te stelen.