Ein Sicherheitsforscher warnt[1] vor einer Lücke im Webframework Ruby on Rails, die zehntausende[2] Webseiten betrifft und es Angreifern erlaubt, Session-Cookies zu kopieren. Damit kann der Angreifer das betroffene Nutzerkonto übernehmen. Betroffen sind Seiten wie Warner Bros., Kickstarter, Paper.li, Simfy, Ask.fm und Audioboo. Der Cookie-Klau ist besonders einfach, wenn sich das Opfer im selben Netz wie der Angreifer befindet. Die Session-Daten können beliebig lang genutzt werden, da Rails die Cookies nicht ungültig macht. Das ist besonders gefährlich, wenn die Seite ihre Authentifizierung nicht über SSL abwickelt.
Der Forscher G.S. McNamara hatte die eigentliche Lücke schon im September gemeldet[3], Zehntausende von Seiten bleiben seinen Angaben nach aber immer noch angreifbar. Das Problem liegt in der Art, wie CookieStore[4] Session-Cookies im Browser des Besuchers speichert. Diese werden zwar überschrieben, wenn sich der Nutzer neu anmeldet. Die alten Cookies sind allerdings weiter gültig. CookieStore ist die Session-Verwaltungsmethode, die Rails in der Werkseinstellung verwendet. Die Rails-Entwickler preisen an, dass sie schneller als alle Alternativen sei.
Mit Version 4.0 hat Rails die Komponente so umgestellt, dass die Cookies nur noch verschlüsselte Daten enthalten. McNamara zufolge behebt das aber das eigentliche Problem nicht; abgefangene Cookies können immer noch eingesetzt werden, um sich beim Login als ein anderer Nutzer auszugeben. Um die Lücke zu schließen, sollen Seitenbetreiber auf andere Möglichkeiten umsteigen, um Session-Cookies zu speichern. So könne ActiveRecord::Store[5] ebenfalls genutzt werden, um Sessions zu verwalten. (fab[6])
Vollständiger Artikel Vollständiger Bericht