/bin/laden/ schrieb am 28. Juli 2008 11:44
> Sicherheitslücke hin oder her: Man sollte an dieser Stelle vielleicht
> der Vollständigkeit erwähnen, dass der Austausch von Cookie-Daten
> unter der selben SLD eigentlich völlig HTTP-konform ist: Ein Cookie
> darf zwischen unternehmen1.co.uk und unternehmen2.co.uk genauso
> ausgetauscht werden wie zwischen www1.unternehmen.de und
> www2.unternehmen.de. Auf Protokollebene liegt hier also kein Fehler
> vor.
>
> Das Problem ist vielmehr, dass dies einige nationale NICs wie Nominet
> nicht so ganz berücksichtigen, indem sie jedem, der sie haben will,
> die selbe SLD (z.B. "co" unterhalb von "uk") vergeben und erst in der
> dritten Ebene unterscheiden. Browserhersteller müssen diesem Problem
> also durch holprige Workarounds (vermutlich Blacklists für
> "öffentliche" SLDs) entgegentreten und das scheint hier vielleicht
> nicht so ganz funktioniert zu haben.
FYI: diese Blacklist war in der ursprünglichen Cookie-Spezifikation
von Netscape vorgesehen und enthielt die Endungen com, edu, net, org,
gov, mil und int. Im offiziellen RFC 2109 ist diese Liste aber
anscheinend nicht drin...
(Links: http://wp.netscape.com/newsref/std/cookie_spec.html bzw.
http://curl.haxx.se/rfc/cookie_spec.html;
http://tools.ietf.org/html/rfc2109).
> Sicherheitslücke hin oder her: Man sollte an dieser Stelle vielleicht
> der Vollständigkeit erwähnen, dass der Austausch von Cookie-Daten
> unter der selben SLD eigentlich völlig HTTP-konform ist: Ein Cookie
> darf zwischen unternehmen1.co.uk und unternehmen2.co.uk genauso
> ausgetauscht werden wie zwischen www1.unternehmen.de und
> www2.unternehmen.de. Auf Protokollebene liegt hier also kein Fehler
> vor.
>
> Das Problem ist vielmehr, dass dies einige nationale NICs wie Nominet
> nicht so ganz berücksichtigen, indem sie jedem, der sie haben will,
> die selbe SLD (z.B. "co" unterhalb von "uk") vergeben und erst in der
> dritten Ebene unterscheiden. Browserhersteller müssen diesem Problem
> also durch holprige Workarounds (vermutlich Blacklists für
> "öffentliche" SLDs) entgegentreten und das scheint hier vielleicht
> nicht so ganz funktioniert zu haben.
FYI: diese Blacklist war in der ursprünglichen Cookie-Spezifikation
von Netscape vorgesehen und enthielt die Endungen com, edu, net, org,
gov, mil und int. Im offiziellen RFC 2109 ist diese Liste aber
anscheinend nicht drin...
(Links: http://wp.netscape.com/newsref/std/cookie_spec.html bzw.
http://curl.haxx.se/rfc/cookie_spec.html;
http://tools.ietf.org/html/rfc2109).