‘Cookies misbruikt voor aanvallen’

Cookies kunnen worden misbruikt voor aanvallen. Daarvoor waarschuwt de Carnegie Mellon University. Webbrowsers controleren niet altijd de domeinen die cookies plaatsen. Op deze manier kan kwaadaardige code op pc’s worden achtergelaten.

De zwakheid zit in de zogenoemde HTTP State Management standaard. Die accepteert cookies voor hoofd- en subdomeinen, zoals subdomain2.domain.com, maar controleert niet hun integriteit.

Onderzoekers van de University of California, Berkeley, Tsinghua University in Beijing, het International Computer Science Institute en Microsoft hebben al eens onderzoek gedaan naar dergelijke aanvallen. Daaruit bleek dat onder meer de zoekhistorie en credit card informatie kan worden opgevraagd.

Carnegie Mellon adviseert sites om standaard het HTTP Strict Transport Security (HSTS) protocol te gebruiken. Die wordt reeds door alle browsers ondersteund, maar van de kant van sites nauwelijks toegepast. Slecht 4,5 procent van de top 145.000 HTTPS-websites bieden ondersteuning voor HSTS.