03.04.2024 17:10
Farbpatronen für den Keksdieb
Zur Absicherung von Bankomaten ist es eine üblich Strategie, dass ein gewaltsamer Einbruch eine Farbpatrone auslöst, die das Geld im Geldautomaten unbrauchbar macht. Es gibt jetzt einen Vorschlag für etwas Ähnliches, um aus Browsern gestohlene Cookies zu entwerten.
Das Thema wurmt mich schon länger, und ich bin froh, dass es endlich einen Lösungsansatz gibt.
Um was geht es? Bei Webanwendungen werden viele spannende Verfahren angewendet, um User sicher zu authentisieren (2FA, ID-Austria, FIDO2, X.509 Client-Zertifikate, ...). Aber am Ende bekommen der Browser ein Cookie und danach reicht dieses Cookie aus, um weiter Aktionen auf diesem Webservice zu autorisieren. Das hat zwei massive Problem, die in letzter Zeit immer wieder ausgenutzt werden:
- Man-in-the-Middle bei der Anmeldung, etwa mittels Evilginx.
- Cookie-Stealing Malware
Das grundlegende Problem ist, dass Cookies portabel sind: man kann sie kopieren und sie funktionieren auch im Browser eines Angreifers. Von Google kommt jetzt ein Vorschlag, wie man Cookies implementieren könnte, die an einen Browser gebunden sind.
Ich weiß jetzt nicht, ob das wirklich so funktioniert und ob es negative Seiteneffekte gibt, aber ich bin froh, dass es endlich Bewegung in dieser Sache gibt.