it-swarm.com.de

Kann eine Webseite die Cookies einer anderen Seite lesen?

Ich habe Pandora gehört, als ich mich hier angemeldet habe, und in der nächsten Werbung ging es um InfoSec. Das ließ mich fragen, ob das (wahrscheinlich) ein Zufall war oder ob sie es irgendwie wussten. Um es kurz zu machen, ich habe mich gefragt, ob eine Webseite auf Cookies zugreifen kann, die sie nicht dort abgelegt hat (wodurch ein ziemlich genauer Browserverlauf sowie Informationen über den Benutzer erhalten werden). Es scheint mir, dass dies verteidigt werden sollte (und wahrscheinlich auch wird), aber wenn ja, wie? Ich kann Cookies auf meinem Computer lesen und zumindest sehen, woher sie stammen. Es scheint also nicht, dass sie verschlüsselt sind ...

32
KnightOfNi

Ja, dies wird gegen die Verwendung der gleiche Origin-Richtlinie verteidigt, die im Allgemeinen verhindert, dass eine Site andere Cookies liest.

Wenn Sie ein Verhalten feststellen, bei dem Anzeigen zu wissen scheinen, wo Sie sich befunden haben, liegt dies wahrscheinlich an Anzeigen-Tracking-Cookies von Drittanbietern.

Wenn Sie also als vereinfachtes Beispiel zu Site A gehen, die ein Werbenetzwerk verwendet, kann dieses Werbenetzwerk aufzeichnen, dass Sie sich auf dieser Site befanden, indem Sie ein Tracking-Cookie auf Ihrem PC platzieren.

Wenn Sie dann zu Site B gehen, die dasselbe Werbenetzwerk verwendet, liest das Werbenetzwerk das Cookie, das gesetzt wurde, als Sie sich auf Site A befanden (was es tun kann, weil es in beiden Fällen Inhalte von seinen Domains lädt, also nicht brechen denselben Ursprung) und können Ihnen dann Anzeigen anbieten, die auf Ihren Surfgewohnheiten basieren.

41
Rory McCune

Ein ordnungsgemäß gestalteter Browser erlaubt einer Website nicht, auf die Cookies einer anderen Website zuzugreifen, da dies gegen die domänenübergreifende Richtlinie verstoßen und ein großes Sicherheitsproblem darstellen würde.

Nicht verwandte Websites können Skripts implementieren, die Informationen an ein einzelnes Anzeigenverfolgungsnetzwerk senden, das dann basierend auf Ihrer gemeldeten Aktivität angepasste Werbung für diese teilnehmenden Websites schalten kann.

Das Aktivieren der Optionen "Nicht verfolgen" ist nicht 100% zuverlässig, da "Nicht verfolgen" nur funktionieren kann, wenn die Website die Anforderung "Nicht verfolgen" aktiv berücksichtigt. Cookies können deaktiviert oder blockiert werden. Es gibt jedoch noch andere einfache Möglichkeiten, wie Werbenetzwerke Ihre Aktivitäten verfolgen können:

  • Seiten auf nicht verwandten Websites können eine Bilddatei anzeigen, die sich auf dem Werbenetzwerkserver befindet. Wenn Ihr Browser die Bilddatei anfordert, sendet er Ihre IP-Adresse und Verweis-URL (die Seite, auf der das Bild angezeigt wird) an den Werbenetzwerkserver. Die Bild-URL kann mit Informationsparametern erweitert werden (vom Seitenserver generiert). Glücklicherweise könnte ein Werbeblocker ein solches Bild blockieren.
  • Wenn Ihr Browser eine Webseite anfordert, kann der Seitenserver direkt mit dem Werbenetzwerk kommunizieren und Informationen wie Ihre IP-Adresse und den von Ihnen angeforderten Inhalt freigeben. Sie können diese Form der Verfolgung nicht blockieren, sie kann jedoch möglicherweise durch die Verwendung eines VPN verringert werden.

Hier könnte es einen Timing-Seitenkanal geben. Angenommen, wenn ein Benutzer angemeldet ist, erhält er eine große Menge an Informationen, aber wenn er sich abmeldet, erhält er ein kleines Anmeldeformular. Der Durchsatz des Internetkanals ist begrenzt, sodass die Zeiten, zu denen Benutzer dieselbe Seite herunterladen, je nach Inhalt unterschiedlich sein können. Mit JS können Sie die Zeit messen, die zum Laden von Elementen benötigt wird, um festzustellen, ob ein Benutzer auf einer nicht kooperativen ausländischen Website angemeldet ist. Ich habe diese Idee nicht getestet und nicht einmal gegoogelt, aber ich weiß, dass der Angriff gegen hsts, der letztes Jahr auf einer Konferenz erzählt wurde, den Timing-Side-Channel verwendet.

1
KOLANICH

Sie schrieben:

Ich habe mich gefragt, ob eine Webseite auf Cookies zugreifen kann, die sie nicht dort abgelegt hat (wodurch ein ziemlich genauer Browserverlauf sowie Informationen über den Benutzer erhalten werden). Es scheint mir, dass dies verteidigt werden sollte (und wahrscheinlich wird), aber wenn ja, wie? Ich kann Cookies auf meinem Computer lesen und zumindest sehen, woher sie stammen. Es scheint also nicht, dass sie verschlüsselt sind ...

Sie haben Recht, ja, Sie können den Inhalt der Cookies lesen, weil es Ihr Computer ist. Dies bedeutet jedoch nicht, dass der Browser jede Website sie lesen lässt. Das sind also zwei verschiedene Dinge. Möglicherweise haben Sie auch einige persönliche Dateien auf Ihrem Computer, die SIE lesen können, eine Website jedoch nicht.

Sie haben eine interessante Frage. Bisher habe ich angenommen, dass jede Webseite ihre eigenen Cookies hat. Aber das stellt sich als falsch heraus. Die Wahrheit ist, dass jede Domain ihre eigenen Cookies hat. Zumindest scheint Firefox so zu funktionieren. Wenn Sie also drei Seiten auf Ihrer Website haben, können diese auf die Cookies der anderen zugreifen.

Sie können den Browserverlauf einer Person anhand von Cookies nicht genau sehen. Cookies speichern normalerweise die Domain, das Ablaufdatum, die Einstellungen, die Zähler und alles, was der Benutzer in ein Formular eingegeben hat. Das sind also die Dinge, die Sie aus einem Cookie herausfinden können. Der schlimmste Fall wäre, wenn Sie Ihre Kreditkartennummer auf einer Seite eingeben. Das JavaScript speichert die Nummer in einem Cookie (CARDNO = 1234567890123456) und überträgt Sie auf eine andere Seite in derselben Domain. Dann liest diese Seite die Nummer und überprüft sie und sendet Sie zur dritten Seite, die dann die Daten an den Server sendet. Klingt verrückt, ist aber MÖGLICH. Wenn Sie sich Cookies ansehen, werden Sie nicht wissen, dass der Benutzer alle drei Seiten besucht hat. Sie wissen nur, was im Cookie, im Ablaufdatum und im Ursprung gespeichert ist. Wenn in diesem Fall die Kreditkartennummer in einem Cookie gespeichert ist, ist dies im Cookie enthalten. Es kann verschlüsselt oder unverschlüsselt sein, ja. Webseiten aus anderen Domänen sollten die Cookies nicht lesen können, da dies, wie Sie sehen, ein großes Problem darstellen würde. Jetzt, da Sie der Besitzer Ihres Computers sind, können Sie auf alles auf Ihrem Computer zugreifen, sodass Sie ALLE auf Ihrem Computer gespeicherten Cookies sehen können, wenn Sie möchten. Und das ist kein Sicherheitsproblem, solange Sie die einzige Person sind, die Ihren Computer verwendet. Wenn Ihr Computer gestohlen wird oder Sie einen Computer mit jemandem teilen, können Sie trotzdem die Dokumente und Cookies und andere Inhalte einer anderen Person lesen, wenn Sie über ein Administratorkonto verfügen.

Cookies bieten ungefähr 5 KB Speicherplatz für jede Domain, um Daten zu speichern. Es kann ein bisschen mehr oder weniger sein. Wenn eine Website viel mehr Daten speichern muss, gibt es eine neue Funktion namens localStorage. Es funktioniert genauso wie Cookies, ermöglicht es einer Website jedoch, Megabyte an Daten statt nur ein paar Kilobyte zu speichern. Wie bei Cookies werden auch hier die Werte in localStorage für Webseiten innerhalb derselben Domain freigegeben. Wenn also eine Seite einen Wert festlegt, kann eine andere Seite diesen Wert in der gleichen Domäne lesen.

Siehe auch: https://html.spec.whatwg.org/multipage/webstorage.html#dom-localstorage

0
Zsolt