Bei Zehntausenden von Internetseiten, die mit dem Web-Framework Ruby on Rails erstellt sind, haben Angreifer über eine Sicherheitslücke durch Kopieren der Session-Cookies die Nutzerkonten übernommen.
Das sind teilweise sehr bekannte Seiten wie Warner Bros., Kickstarter, Paper.li, Simfy, Ask.fm und Audioboo. Besonders einfach wird der Cookie-Klau, wenn der Angreifer im selben Netz ist wie das Opfer.
Dummerweise können die Session-Daten beliebig lang genutzt werden, weil Rails die Cookies nicht ungültig macht.
Das ist besonders dann sehr gefährlich, wenn die Seite ihre Authentifizierung nicht über eine sichere SSL-Verbindung abwickelt.