Ruby-on-Rails-Seiten per Cookie-Klau kompromittiert

Publiziert am 28. November 2013, 16:37 von Klaus

rubyonrailsBei Zehntausenden von Internetseiten, die mit dem Web-Framework Ruby on Rails erstellt sind, haben Angreifer über eine Sicherheitslücke durch Kopieren der Session-Cookies die Nutzerkonten übernommen.

Das sind teilweise sehr bekannte Seiten wie Warner Bros., Kickstarter, Paper.li, Simfy, Ask.fm und Audioboo. Besonders einfach wird der Cookie-Klau, wenn der Angreifer im selben Netz ist wie das Opfer.

Dummerweise können die Session-Daten beliebig lang genutzt werden, weil Rails die Cookies nicht ungültig macht.

Das ist besonders dann sehr gefährlich, wenn die Seite ihre Authentifizierung nicht über eine sichere SSL-Verbindung  abwickelt.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.