Fremde Seite begrüßt mich mit Namen

[memoriam]

Hi,

ich war gerade zum erstenmal auf http://www.rss-to-javascript.com/p/Home___154.html und wurde dort mit meinem Namen begrüßt (links auf der Seite). Dort wird wohl das amazon.com-cookie ausgelesen.

Was haltet Ihr davon? Benutzt Ihr das auch?

fragt memoriam

 

[Sandro Feuillet]

Die Grafik (mit dem dynamisch generierten Text drauf) stammt von einem Amazon Server. So viel ich weiss, ist es nicht möglich fremde Cookies auszulesen. Wäre ein Riesending, wenn das plötzlich geht. Dann wäre Datenschutz ein Ding der Vergangenheit.

Gruss Sandro

 

[sd12]

Ein fremdes Cookie kann nicht gelesen werden. Das geht soweit, das zwischen domian.ch und www.domian.ch unterschieden wird.

 

[René Weber]

QUOTE Ein fremdes Cookie kann nicht gelesen werden.


Sorry Benedikt, das stimmt leider nicht. Fremde Cookies können gelesen werden, deshalb wird ja auch empfohlen, keine sensiblen Daten in Cookies abzulegen.

Wir haben gerade vor 3 Wochen die Cookies von Nespresso analysiert. Du kriegst sofort 4 Cookies von diesem Server, wobei die Lebensdauer 10 Minuten ist und eines der Cookies fortlaufend auf den neusten Stand deines Besuchs gebracht wird.

Im Prinzip sind gute Cookies (die von meiner Mutter

) ja gut und nützlich. Für den Site-Betreiber, um den Besucherstrom zu analysiern und Einkaufskörbe zu bewirtschaften. Für den User hat es z.Bsp. den Vorteil, sich nicht durch zig Seiten klicken zu müssen, sondern da anzufangen, wo er letztes Mal aufgehört hat.

Aber leider kann man die Cookies auch zur Spionage benutzen. Es gibt da irgendwo eine Regel, welche beschreibt, was ein gutes Cookie ist und was nicht drin stehen sollte. Leider habe ich im Moment die Referenz nicht zur Hand. Falls ich sie finde (in der Cookie-Büchse ???), werde ich sie hier posten.

Mit besten grüssen
Boubou7

 

[qu2]

Könnt ihr mir das mal technisch erklären? Ich war bisher immer der Meinung, das Cookies nur von dem Webserver ausgelesen werden können, von welchem sie auch gesetzt wurden...

 

[Alain Aubert]

QUOTE
QUOTE
Ein fremdes Cookie kann nicht gelesen werden.

Sorry Benedikt, das stimmt leider nicht.

Das ist mir neu.

 

[sd12]

QUOTE (Boubou7 @ Do 10.11.2005, 20:43)
QUOTE Ein fremdes Cookie kann nicht gelesen werden.


Sorry Benedikt, das stimmt leider nicht. Fremde Cookies können gelesen werden, deshalb wird ja auch empfohlen, keine sensiblen Daten in Cookies abzulegen.

Verstehen wir uns falsch?

-Ich meine damit, das ich mit einem Server (genau genommen Domain) nur Cookies lesen kann, welche ich selbst (auf dieser Domain) erstellt habe lesen kann.

- Cookies werden in klartext auf dem PC gespeichert und jeder kann Sie (am PC sitzend) lesen. Deshalb sollten keine vertraulichne infos in einer Cookie sein.


QUOTE (RFC2965)The origin server's effective host name MUST domain-match the Domain attribute of the cookie.

Hoffe, dass ich mit meinem "schlechten" Englich die richtige Stelle der entsprechenden RFC erwischt hane.

http://www.ietf.org/rfc/rfc2965.txt

 

[René Weber]

Dann lest dies:
QUOTE How it works
Using a specially constructed URL, a Web site can read Internet Explorer cookies set from any domain. For example, to read a user's Amazon.com cookie, a site could direct the user's browser to:
http://www.peacefire.org%2fsecurity%2fieco...l%3F.amazon.com
If you replace the "%2f"'s with "/" characters, and the "%3F" with "?", this URL is actually:
http://www.peacefire.org/security/iecookie...tml?.amazon.com
But IE gets confused and thinks the page is located in the Amazon.com domain, so it allows the page to read the user's Amazon.com cookie.


und die Antwort von Microsoft:


QUOTE "Unauthorized Cookie Access" Vulnerability: Frequently Asked Questions
What's this bulletin about?
Microsoft Security Bulletin MS00-033 announces the availability of a patch that eliminates a vulnerability in Microsoft® Internet Explorer. Under some conditions, the vulnerability could allow a malicious web site operator to access cookies that have been placed on the computer of a visiting user by other web sites. Microsoft is committed to protecting customers' information, and is providing the bulletin to inform customers of the vulnerability and what they can do about it.



OK, ist schon ein alter Hut. Aber neue Black Hat Hackers sind unterwegs.

Mit besten Grüssen
Boubou7

 

[sd12]

Ok....
Wieder mal MS, welche sich nicht an die Spielregeln halten. (ist aber gut zu wissen)

 

[Alain Aubert]

;-) Das ist gelinde gesagt Beschiss...

Nur weil der IE dermassen löchrig ist, dass jeder dreckige Wurm via ActiveX von Microsoft dazu eingeladen wird mit vollen Userrechten zu tun was beliebt (und somit auch ein Textfile auszulesen, dass ungeschützt auf der Platte liegend ein Cookie darstellt), kann Du nicht sagen, es wäre möglich Cookies von fremden Webseiten auszulesen. Es ist in der Tat möglich die persönlichen Daten eines (ungeschützten) IE Benutzers (und somit auch alle Cookies) auf etwa 1000 verschiedene Arten auszulesen, weil es entsprechend viele Sicherheitslücken im IE gibt, aber das hat nichts mit den Cookies an sich zu tun. Die von Dir gepostete Lücke ist übrigens von anno 2000.

Fazit: Cookies können nur von der setzenden Domain ausgelesen werden; wem IE Nutzer ohne Firewall und Virensoftware ihre Daten anvertrauen ist mir wurscht.

Wer aber eine Sicherheitslücke kennt, die mehr als jungfräuliche IE5s von Millienumjahrgang in die Pfanne haut, bitte vortreten.

 

[René Weber]

Wie sieht es denn aus, wenn das Cookie ohne Domain Name abgelegt wird (aus Versehen oder absichtlich?

Mit besten Grüssen
Boubou7

 

[sd12]

also bei php wird das doch automatisch immer mit domain abgelegt.