![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.png){kind=icon}
Het US-CERT claimt een kwetsbaarheid gevonden te hebben in de manier waarop cookies gebruikt worden voor gebruikersidentificatie. Het is echter niet duidelijk waarom het CERT dit als 'nieuws' presenteert; deze kwetsbaarheid bestaat al sinds het eerste koekje op het internet verscheen.
Veel websites gebruiken cookies met een uniek identificatienummer om te voorkomen dat gebruikers zich bij iedere nieuwe pagina moeten identificeren. Deze cookie wordt met iedere request naar de server gestuurd als authenticatiemiddel. Hoewel de inlogprocedure voorafgaand aan het versturen van een cookie bij de meeste sites via een versleutelde verbinding loopt, heeft CERT geconstateerd dat de cookie zelf regelmatig in plain text-formaat verzonden wordt. Een kwaadwillende hacker kan de cookie onderscheppen en vervolgens gebruiken om zich voor te doen als de ingelogde gebruiker.
De constatering van het US-CERT komt echter niet als een verrassing, hoewel de organisatie wel flink wat ophef rond de 'ontdekking' maakt; de kwetsbaarheid van het cookie-mechanisme is al langer bekend. Veel webmasters kiezen er echter bewust voor om wel de loginprocedure - aangezien met een login en wachtwoord vaak meer schade aangericht kan worden, ook op andere sites - via een versleutelde https-verbinding te laten lopen, maar niet het verdere dataverkeer waartoe ook de identificatiecookie behoort.
De belangrijkste reden hiervoor is dat het versleutelen van al dit verkeer een behoorlijke belasting op de webservers kan leggen en dat het lastiger wordt om loadbalancers in te zetten om de belasting over een heel serverpark te verdelen. Vaak wordt daarom wel de mogelijkheid geboden om een cookie aan een ip-adres te verbinden. Hoewel dit ip-adres ook vervalst kan worden, vergt dit al flink wat meer inspanning en kennis van de aanvallers.
Gebruikers kunnen bovendien hun steentje bijdragen aan de beveiliging van hun gegevens, door niet met gevoelige gegevens in te loggen op onbekende of onbetrouwbare netwerken. Bovendien kan het versleutelen van de wifi-verbinding met behulp van wpa al heel wat kwaadwillenden tegenhouden. De enige correcte manier om deze kwetsbaarheid op te lossen, zou er echter uit bestaan http volledig te dumpen en over te stappen op https, met heel wat extra kosten voor serverhardware en certificaten tot gevolg.
Update 18.30u: De oorspronkelijke tekst presenteerde de 'ontdekking' van het US-CERT als nieuws. In de aangepaste versie werd wat nuancering en een kritische noot toegevoegd om een en ander in breder perspectief te plaatsen.
 21:34 |
Samsung begint 60nm-productie 2Gb ddr2-chips |
 17:56 |
Rpg Lost Odyssey verschijnt in februari |
Door 
![[show]](http://tweakimg.net/g/if/comments/button_down.gif "Reactie uitklappen")
