Neue Sicherheitsfunktion von Firefox ausgehebelt
Seit Version 2.0.0.5 verfügt der Open-Source-Webbrowser über eine Sicherheitsfunktion, die es Angreifern erschweren soll, Cookies per JavaScript zu klauen. Leider lässt sich dies relativ einfach aushebeln. Der Internet Explorer ist ebenfalls betroffen.
Seit Version 2.0.0.5 [1] verfügt der Open-Source-Webbrowser Firefox über eine Sicherheitsfunktion, die es Angreifern erschweren soll, mittels JavaScript-Cookies bestimmte Seiten zu kopieren und sich damit unter falscher Flagge anzumelden. So genannte HttpOnly-Cookies [2] lassen sich nicht mehr durch JavaScript auslesen, sodass beispielsweise Cross-Site-Scripting-Attacken, die die JavaScript-Methode document.cookie nutzen, nicht mehr funktionieren.
Ursprünglich unterstützte nur der Internet Explorer seit Version 6 SP1 die Erweiterung des Cookie-Formats um dieses Attribut (Set-Cookie: VAL=023; expires=Tuesday, 24-Jul-07 23:12:40 GMT; httpOnly). Bis dato setzen aber nur wenige Seiten aus Kompatiblitätsgründen HttpOnly-Cookies. Für Tests auf dem eigenen Server reicht etwa unter PHP folgender Codeschnippsel:
<?php
header("Set-Cookie: hidden=value; httpOnly");
?>
<html>
<body>
<script>
alert(document.cookie);
</script>
</body>
</html>
Bei Aufruf mit dem Browser bleibt die Alert-Box leer.
Leider lässt sich diese Sicherheitsfunktion mit Tricks aushebeln, die Amit Klein zwar bereits Anfang 2003 in einem Posting auf Bugtraq beschrieben [3] hat, die aber erst jetzt auf breiteres Interesse stoßen [4]. Mit der JavaScript-Methode XMLHTTPRequest [5] lassen sich die zu übertragenden Cookies im HTTP-Header direkt auslesen – ganz ohne document.cookie. Voraussetzung bleibt aber weiterhin, dass eine Seite ein XSS-Lücke aufweist, damit ein Angreifer eigenen JavaScript-Code in den Browser des Anwenders schleusen und starten kann. Eine Demo [6] dazu findet sich auf ha.ckers.org.
Siehe dazu auch:
- XS(T) attack variants which can, in some cases, eliminate the need for TRACE [7], Fehlerbericht von Amit Klein
- Round-up: Ways to bypass HttpOnly (and HTTP Basic auth) [8], Fehlerbericht von Amit Klein
(dab [9])
URL dieses Artikels:
https://www.heise.de/-154475
Links in diesem Artikel:
[1] https://www.heise.de/news/Firefox-2-0-0-5-beseitigt-Sicherheitsluecken-2-Update-152226.html
[2] http://msdn2.microsoft.com/en-us/library/system.web.httpcookie.httponly.aspx
[3] http://www.securityfocus.com/archive/107/308433
[4] http://ha.ckers.org/blog/20070719/firefox-implements-httponly-and-is-vulnerable-to-xmlhttprequest/
[5] http://en.wikipedia.org/wiki/XMLHttpRequest
[6] http://ha.ckers.org/blog/20070719/firefox-implements-httponly-and-is-vulnerable-to-xmlhttprequest/
[7] http://www.securityfocus.com/archive/107/308433
[8] http://seclists.org/webappsec/2006/q2/0181.html
[9] mailto:dab@ct.de
Copyright © 2007 Heise Medien