利用浏览器cookie绕过HTTPS窃取私人信息

 

美国计算机应急响应小组（CERT）透露，所有主要浏览器供应商均未正确实施RFC 6265标准，也被称为浏览器Cookies，远程攻击者绕过安全的HTTPS协议，泄露机密的私人会话数据。

 

Cookie是从网站发送到网络浏览器的小块数据，其中包含用于识别用户或存储与特定网站相关的任何信息的各种信息。

每当一个网站(你去过吗)要在浏览器中设置cookie，它会传递一个名为“设置Cookie“带有参数名、其值和一些选项，包括cookie过期时间和域名(这是有效的)。

 

同样重要的是要注意，基于HTTP的网站不会以任何方式加密标题，为了解决这个问题，网站使用带有安全旗“，这表示必须发送cookie(从浏览器到服务器)通过安全的HTTPS连接。

 

然而，研究人员发现，一些主要的网络浏览器通过HTTPS接受cookie，甚至没有验证HTTPS cookie的来源(曲奇强制)，允许攻击者在纯文本HTTP浏览会话上将人置于中间位置，注入用于安全HTTPS加密会话的cookie。

 

对于未受保护的浏览器，攻击者可以将HTTPS cookie伪装成另一个网站（example.com），并覆盖真实的HTTPS cookie，这样即使用户在查看cookie列表时也可能意识不到它是假的。

 

现在，这种恶意HTTPS cookie由攻击者控制，因此能够拦截和抓取私人会话信息。

 

8月在华盛顿举行的第24届USENIX安全研讨会首次揭示了这个问题，当时研究人员提交了他们的论文，称主要网站和流行的开源应用程序（包括谷歌、亚马逊、eBay、苹果、美国银行、比特桶、中国建设银行、中国银联、京东。com、phpMyAdmin和MediaWiki等。

 

受影响的主要web浏览器包括以前版本的：

然而，好消息是，供应商现在已经解决了这个问题。因此，如果你想保护自己免受这种cookie注入MitM（中间人）攻击，请升级到这些web浏览器的最新版本。

 

CERT还建议网站管理员部署HSTS（HTTP严格传输安全）在他们的顶级领域。