Können Cookies an andere Websites übergeben werden?
Geht sowas? Könnte es sein, dass wenn Cookies auf einer Seite gespeichert werden im Browser, dass dann eine andere Website diese auch teilweise übergreifen kann bzw lesen kann?
Also Beispiel: Ich gehe auf Google, google etwas und es speichern sich cookies in meinem Browser, dann gehe ich auf eine andere Seite wie z.B. Gutefrage, könnte Gutefrage dann theoretisch Cookies von meinem Browser von Google lesen? Statt Google oder Gutefrage könnte man zwei beliebige andere Websites einfügen, es gilt nur zu Demonstrationszwecken.
Ich bin mir zwar eigentlich ziemlich sicher dass es nicht geht, hatte aber mal irgendwie von so einem Mythos gehört und wollte jetzt noch mal sicher gehen.
Aber es macht ja eigentlich schon kein Sinn, weil bei Login System ja Session IDs zum angemeldet bleiben als Cookies gespeichert werden. Somit könnte ja jede andere Seite Acoounts hacken?
5 Antworten
Ja, natürlich. Was meinst du, wie Tracking über Webseiten-Grenzen hinweg sonst funktioniert? :D
Es gibt aber Techniken, wie Mozilla Firefox sie einsetzt, die für jede Webseite einen eigenen Pool an Cookies hat und diese quasi eingesperrt werden.
Dazu gibt es noch das Konzept der Account-Container: https://github.com/mozilla/multi-account-containers#readme Da kannst du dich in den verschiedenen Containern sogar in verschiedene Google-Accounts einloggen.
Daneben gibt es noch Tracking-Methoden mittels des Browsers selbst, wo Darstellungen und Reaktionszeiten etc. gemessen und du damit identifiziert wirst.
Ist die Frage, wie das faktisch unterschieden wird. Beispiel:
Seite A setzt Cookie CA
Auf Seite B wird ein Skript von Seite A geladen -> Hat das dann nicht Zugriff auf den Cookie CA?
tracking funktioniert aber anders, da werden keine fremden cookies ausgelsen , weil das verhindert die origin , eher wird der cookie der fremdseite ausgelesen . weil man einen fremdanbieter auf der seite eingebunden hat . ist halt nciht so das xyz einfach den login cookie von zxy auslesen kann , dazu bräuchte es schon crosssite injections , das ist aber dann ein fehler des webseiten betreibers .
das ist etwas komplizierter als hier alle beschreiben
erstens gibt es die origin, die verhindert das fremde domains ports subdomains fremde cookies auslesen . aber es gibt halt auch die möglichkeit einfach einen drittanbieter auf der webseite einzubinden der dann sein cookie ausließt und auch crossdomain cookies zu setzen, die auch über ports/domains hinweg ausgelesen werden können . deswegen sind crosssite injections auch so unangenehm , wer also seinen code z.b. in einem forum unterbringen kann , kann dort auch ggf den cookie stehlen .
grundeinstellung ist aber erstmal die origin , die verhindert unerlaubtes auslesen von fremden ressourcen .
Ich bin mir zwar eigentlich ziemlich sicher dass es nicht geht
https://support.mozilla.org/de/kb/drittanbieter-cookies-schutz-aktivitatenverfolgung
https://www.kuketz-blog.de/cookies-wie-google-seine-nutzer-seitenuebergreifend-erkennt-bzw-trackt/
naja , dabei ist aber z.b. bei google, halt code von google auf der webseite eingebunden . praktisch ist es aber nciht so , das google einfach fremde seiten tracken kann , wo der webadmin nicht diesen code eingebunden hat und er kann meist auch nur die eigenen cookies lesen und nicht fremdcookies wenn das nicht expliziet erlaubt wird .
die origin ist schon sicher , gegen cosssite scripting wo jemand code einschleußt ist man halt nicht sicher wenn der webseiten betreiber gepfuscht hat .
der browser ist aber strict und verhindert alles was nicht expliziert erlaubt wurde.
Ja natürlich. Das genau sollen die Kekse bewirken.
Man kann das aber gut umgehen, in dem man zB VPN oder TOR nutzt.
ähm das auf diese art nich nötig, da du teilweise automatisch cookies von andern webinhalten aktzeptierst, beispiel ein google login is vorhanden auch ein login über die website mit anderem acc, dann wären google cookies vorhanden die google natürlich auslesen kann.
Und im Grunde gilt immer eins, jede Datei kann ausgeleesen und verändert werden die irgendier ins Netz gerät was bei cookies der Fall is, dadurch geht ja auch hacking.
Und im Grunde gilt immer eins, jede Datei kann ausgeleesen und verändert werden die irgendier ins Netz gerät was bei cookies der Fall is, dadurch geht ja auch hacking.
natürlich nicht, die origin ist schon sicher . wenn hat der webseiten betreiber nciht auf crosssite scripting geachtet . wäre das nciht so , wären wir schon lange hier alle zerstört . dafür hat man ja token etc entwickelt damit das eben nciht so einfach mal eben von irgendeinem neunmalschlauen gemacht werden kann .
dein satz ist halt pure panik mache . ncihts ist unmöglich , aber das die erde eine scheibe ist, ist halt auch nicht unmöglich , wir haben halt nur runde pupillen ;)
naja wenn da Panik auslöst tuts mir leid, aber möglich is es halt, das war jetzt nur ne logische Aussage der reinen theoretischen Möglichkeit, wenn das jetzt falsch verstanden wird sorry, so meinte ichs halt nich xD
Das sind dann Tracking- bzw. Third-Party-Cookies.
First-Party-Cookies können nur auf der Webseite, auf der die generiert wurden, auch gelesen werden.