In der letzten Woche berichteten wir gerade darüber, dass immer mehr auf sichere Verbindungen via HTTPS setzen und es in Hinblick auf die Sicherheit natürlich zu begrüßen ist. Gerade wenn es um sensible Daten geht, die übertragen werden, sollte der Einsatz von SSL/TLS Standard sein. Heute fanden wir dann jedoch eine Meldung die aufzeigt, dass die sichere Verbindung doch nicht ganz so sicher ist. Klar, alles kann gehackt werden, das ist keine Frage – mit der HEIST-Methode ist aber jetzt eine Art der Attacke möglich, bei der auch Affiliates aufhorchen sollten.

Hinter dem Wort HEIST (HTTP Encrypted Information can be Stolen through TCP-windows) steckt eine Methode zum Angriff gegen SSL/TLS im Browser, die zwei Sicherheitsexperten jetzt aufzeigten. Erstmals müssen Angreifer den verschlüsselten Traffic nicht mehr überwachen, um Schaden anzurichten. Vielmehr können Informationen über die verschlüsselten Daten über ein Javacsript ausgegeben werdden, dass sich auf einer Website befindet. Ein mögliches Szenario ist, dass die Angreifer das Javascript über Werbenetzwerke einschleusen. Bis hin zur Übernahme des Accounts eines User ist damit dann so einiges möglich.

Derzeit gibt es bei den gängigen Browsern noch keinen Schutzmechnanismus gegen diese Art von Angriffen. Und laut den Experten wird es wohl auch noch einige Zeit dauern, bis es da Lösungen gibt. Wer bis dahin sicher vor Attacken dieser Art sein möchte, kann das nur tun, in dem er Cookies von Drittanbietern rigoros ablehnt. Aber leider sorgt das dann auch dafür, dass viele Websites und Services dann nicht mehr genutzt werden können.