Verfasst: 08.09.2007, 20:59
Das amerikanische CERT warnt vor einem Sicherheitsproblem, das vor allem in unsicheren Netzen wie zum Beispiel an WLAN-Hotspots zum Tragen kommt und dazu führen kann, dass Angreifer die Accounts ihrer Opfer komplett übernehmen können.
Bei vielen Diensten wie beispielsweise Google Mail, erfolgt die Anmeldung verschlüsselt.
Der eigentliche Zugriff auf den Dienst erfolgt dann jedoch oft aus Performance- und damit Kosten-Gründen unverschlüsselt.
Gelingt es einem Angreifer, ein Session-Cookie abzufangen, kann er damit unter Umständen die Sitzung des Users komplett übernehmen und auch ohne das Passwort zum Beispiel dessen Mail lesen.
Besonders gefährdet sind Nutzer von WLAN-Hotspots, weil jeder im gleichen Funknetz unverschlüsselt gesendete Daten einfach mitlesen kann.
Wirklich vollständigen Schutz bietet nur die Verschlüsselung der kompletten Sitzung.
http://www.heise.de/newsticker/meldung/95686
Bei vielen Diensten wie beispielsweise Google Mail, erfolgt die Anmeldung verschlüsselt.
Der eigentliche Zugriff auf den Dienst erfolgt dann jedoch oft aus Performance- und damit Kosten-Gründen unverschlüsselt.
Gelingt es einem Angreifer, ein Session-Cookie abzufangen, kann er damit unter Umständen die Sitzung des Users komplett übernehmen und auch ohne das Passwort zum Beispiel dessen Mail lesen.
Besonders gefährdet sind Nutzer von WLAN-Hotspots, weil jeder im gleichen Funknetz unverschlüsselt gesendete Daten einfach mitlesen kann.
Wirklich vollständigen Schutz bietet nur die Verschlüsselung der kompletten Sitzung.
http://www.heise.de/newsticker/meldung/95686