Gefahr für HTTPS-Verbindungen durch Cookies

Keiner der aktuellen Browser unterscheidet, ob ein Cookie von einer unverschlüsselten HTTP- oder von einer verschlüsselten HTTPS-Verbindung stammt. Dadurch wird es möglich, dass z. B. ein Cookie für eine Session-ID einer HTTPS-Sitzung über eine HTTP-Verbindung manipuliert wird, ohne das der Browser dieses erkennt. Forscher ist es damit u. a. gelungen, Bezahlvorgänge umzuleiten. Leider liegt diesem … Read more