Chrome: Neuer Ansatz gegen Cookie-Diebstahl

Cookies sind ein wesentlicher Bestandteil des modernen Webs. Sie erleichtern Ihr Online-Erlebnis, indem sie Browsing-Informationen speichern, sodass Websites Sie eingeloggt halten und Ihre Präferenzen merken können. Aufgrund ihrer Nützlichkeit sind Cookies jedoch auch ein begehrtes Ziel für Angreifer.

Viele Nutzer im Web fallen Malware zum Opfer, die auf den Diebstahl von Cookies abzielt und Angreifern Zugang zu ihren Webkonten verschafft. Betreiber von Malware-as-a-Service (MaaS) nutzen häufig Social Engineering, um Malware zur Entwendung von Cookies zu verbreiten, und überzeugen Benutzer sogar davon, mehrere Warnungen zu ignorieren, um die Malware auf ihrem Gerät zu platzieren. Die Malware extrahiert dann typischerweise alle Authentifizierungs-Cookies aus den Browsern auf dem Gerät und überträgt sie an entfernte Server, wodurch Angreifer die kompromittierten Konten kuratieren und verkaufen können. Dieser Diebstahl von Cookies erfolgt nach dem Login, umgeht also die Zwei-Faktor-Authentifizierung und alle anderen Überprüfungen der Anmeldezeit. Zudem ist es schwer, ihn mit Antivirus-Software zu bekämpfen, da die gestohlenen Cookies weiterhin funktionieren, selbst nachdem die Malware entdeckt und entfernt wurde.

Um dieses Problem anzugehen, wird derzeit an einem neuen Webfeature namens “Device Bound Session Credentials” (DBSC) gearbeitet, die Benutzer besser vor Cookie-Diebstahl schützen soll, mit dem Ziel, ein offener Webstandard zu werden. Jede Sitzung wird dabei durch einen einzigartigen Schlüssel unterstützt, und DBSC ermöglicht es Websites nicht, Schlüssel aus verschiedenen Sitzungen auf demselben Gerät zu korrelieren, um sicherzustellen, dass kein persistentes Nutzer-Tracking hinzugefügt wird. Der Nutzer kann die erstellten Schlüssel jederzeit löschen, indem er die Website-Daten in den Browser-Einstellungen löscht. Die Auffrischung von kurzfristigen Cookies außerhalb der Bandbreite wird nur durchgeführt, wenn ein Nutzer die Sitzung aktiv nutzt (z. B. die Website durchstöbert).

Der entwickelte Standard wird wahrscheinlich von mehreren grossen Browser Anbietern implementiert werden, laut einem Blog von Chromium, arbeitet Google schon aktiv an der Umsetzung.

Related Posts

Hacker pflanzten Backdoor in Linux Core: XZ Utils erlaubt SSH Zugriff

Alarmstufe Rot in der Linux Welt: am 29. März 2024 informierte Andres Freund, ein Entwickler bei PostgreSQL, über eine Backdoor in XZ Utils, die unbefugten SSH-Zugriff ermöglichen kann. XZ Utils, insbesondere die liblzma-Komponente, ist ein essenzielles Werkzeug für die Datenkompression unter Linux, vergleichbar mit gzip und bzip2. Die Entdeckung erfolgte, als Freund ungewöhnliche Symptome in Verbindung mit liblzma auf Debian-Installationen bemerkte, einschließlich hoher CPU-Auslastung und Fehlern beim Login über SSH.

Read More

Sicherheitslücke im Wordpress LayerSlider Plugin betrifft Millionen Seiten

Am 2.4.24 wurde eine kritische Sicherheitslücke im beliebten LayerSlider Plugin für WordPress bekannt, die unauthentifizierte SQL-Injection-Angriffe ermöglicht und daher besonders gefährlich ist. Betroffen sind die Versionen 7.9.11 bis 7.10.0 des Plugins. Die Schwachstelle, gekennzeichnet mit der CVE-ID CVE-2024-2879, erhielt einen kritischen CVSS-Score von 9,8 / 10. Das Layerslider Plugin ist weit verbreitet und wird in Millionen von Webseiten benutzt.

Read More

Kritische Sicherheitslücke in Apache Pulsar entdeckt

Am 2.4.24 wurde die Apache Pulsar Sicherheitslücke CVE-2024-29834 veröffentlicht. Durch diese Schwachstelle können authentifizierte Benutzer mit Produktions- oder Konsumberechtigungen unbefugte Operationen an partitionierten Topics durchführen, wie das Entladen von Topics und das Auslösen von Verdichtungsvorgängen, die normalerweise auf Benutzer mit Tenant-Admin-Rolle oder Superuser-Rolle beschränkt sein sollten. Die Sicherheitslücke betrifft mehrere Versionen von Apache Pulsar, einschließlich der Versionen 2.7.1 bis 2.10.6, 2.11.0 bis 2.11.4, sowie die 3.0.0 bis 3.0.3, 3.1.0 bis 3.1.3 und 3.2.0 bis 3.2.1.

Read More