Sicherheitslücke hin oder her: Man sollte an dieser Stelle vielleicht
der Vollständigkeit erwähnen, dass der Austausch von Cookie-Daten
unter der selben SLD eigentlich völlig HTTP-konform ist: Ein Cookie
darf zwischen unternehmen1.co.uk und unternehmen2.co.uk genauso
ausgetauscht werden wie zwischen www1.unternehmen.de und
www2.unternehmen.de. Auf Protokollebene liegt hier also kein Fehler
vor.
Das Problem ist vielmehr, dass dies einige nationale NICs wie Nominet
nicht so ganz berücksichtigen, indem sie jedem, der sie haben will,
die selbe SLD (z.B. "co" unterhalb von "uk") vergeben und erst in der
dritten Ebene unterscheiden. Browserhersteller müssen diesem Problem
also durch holprige Workarounds (vermutlich Blacklists für
"öffentliche" SLDs) entgegentreten und das scheint hier vielleicht
nicht so ganz funktioniert zu haben.
Selbstverständlich erwartet der Nutzer einen solchen Workaround, da
ihm der konzeptionelle Widerspruch zwischen dem Vertrauen auf eine
Domain und deren mehrfache Vergabe nicht klar sein kann. So gesehen
ist dies natürlich eine Sicherheitslücke, aber das eigentliche
Problem ist ein anderes.
der Vollständigkeit erwähnen, dass der Austausch von Cookie-Daten
unter der selben SLD eigentlich völlig HTTP-konform ist: Ein Cookie
darf zwischen unternehmen1.co.uk und unternehmen2.co.uk genauso
ausgetauscht werden wie zwischen www1.unternehmen.de und
www2.unternehmen.de. Auf Protokollebene liegt hier also kein Fehler
vor.
Das Problem ist vielmehr, dass dies einige nationale NICs wie Nominet
nicht so ganz berücksichtigen, indem sie jedem, der sie haben will,
die selbe SLD (z.B. "co" unterhalb von "uk") vergeben und erst in der
dritten Ebene unterscheiden. Browserhersteller müssen diesem Problem
also durch holprige Workarounds (vermutlich Blacklists für
"öffentliche" SLDs) entgegentreten und das scheint hier vielleicht
nicht so ganz funktioniert zu haben.
Selbstverständlich erwartet der Nutzer einen solchen Workaround, da
ihm der konzeptionelle Widerspruch zwischen dem Vertrauen auf eine
Domain und deren mehrfache Vergabe nicht klar sein kann. So gesehen
ist dies natürlich eine Sicherheitslücke, aber das eigentliche
Problem ist ein anderes.