Zuletzt in der stern-TV-Sendung vom 14. März 2012 wurde ein Problem diskutiert, das eigentlich schon länger bekannt ist, aber trotz seiner Brisanz bisher eher stiefmütterlich behandelt wurde: Hijacking unverschlüsselter Session-Cookies über ungesicherte WLANs. Bereits seit letztem Jahr existiert die Android-App Droidsheep, mit der es jedem Laien möglich ist, sich in einem unverschlüsselten WLAN die dort aktiven und angreifbaren Sessions bestimmter Webanwendungen, wie z. B. Facebook und Amazon anzeigen zu lassen und diese Sessions direkt zu übernehmen. Im Falle von Amazon dringt man damit lediglich in die Privatsphäre des Benutzers ein, kann aber keine Käufe tätigen. Im Falle von Facebook erhält der Angreifer Zugriff auf den gesamten Account und damit die Möglichkeit, jegliche Aktion im Namen des Accountinhabers durchzuführen. Im Grunde betrifft diese Sicherheitslücke nicht nur WLANs, sondern ebenso kabelgebundene Netzwerke, nur dass es hier etwas höheren Aufwands bedarf, den Netzwerkverkehr abzuhören, ohne selbst entdeckt zu werden.

Dass der Angreifer bei Amazon auf diese Weise lediglich in die Privatsphäre eindringen, aber keinen direkt messbaren Schaden anrichten kann und dass sich die Sicherheitslücke in Facebook vom User durch einen gezielten Klick in den persönlichen Sicherheitseinstellungen schließen lässt, zeigt, dass die Betreiber der Webanwendungen diese Lücken bewusst gelassen haben.

Wie Johannes Böck bereits 2008 in seiner Diplomarbeit darstellte, ist es notwendig, alle in einer Session ausgetauschten Daten per SSL zu verschlüsseln und zu verhindern, dass der Session-Cookie auf Anfrage von unverschlüsselten Verbindungen übermittelt wird. Dies ist technisch leicht zu bewerkstelligen, allerdings erfordert die Ver- und Entschlüsselung des Datenverkehrs zusätzliche Rechenkapazität. Diese Last ist bei der überwiegenden Zahl von Webanwendungen vernachlässigbar, aber bei Plattformen mit extrem großen Zugriffszahlen fällt sie natürlich entsprechend ins Gewicht. Dies wird der Grund sein, warum Betreiber wie Amazon oder Facebook Verschlüsselung so sparsam einsetzen.

Die Empfehlung für die Entwicklung und den Betrieb von Webanwendungen lautet daher, sämtliche Zugriffe zu verschlüsseln (HTTPS) und Cookies so zu setzen, dass sie nicht unverschlüsselt (HTTP) übermittelt werden. Sollten Rechenkapazitäten zum Flaschenhals werden, empfehlen wir, wie Amazon, mit zwei Cookies zu arbeiten, aber darauf zu achten, dass im Falle einer Kaperung des unverschlüsselten Cookies nicht die Privatsphäre des Benutzers gefährdet wird.