Cookie-urile – fisierele pe care website-urile le creeaza in browsere pentru a retine utilizatorii autentificati si pentru a culege informatii despre acestia – ar putea fi folosite de atacatori pentru a extrage informatii sensibile din conexiunile HTTPS criptate.
Problema provine din faptul ca standardul HTTP State Management (sau RFC 6265), care defineste modul in care cookie-urile ar trebui sa fie create si manipulate, nu specifica niciun mecanism care sa izoleze sau sa verifice integritatea lor.
Ca atare, browserele web nu autentifica intotdeauna domeniile care creeaza cookie-uri. Acest lucru permite atacatorilor sa injecteze cookie-uri prin conexiuni HTTP simple, care mai tarziu vor fi transmise prin conexiuni HTTPS, in locul cookie-urilor create de site-urile HTTPS.
Pana cand organizatiile de standardizare gasesc o solutie, problema poate fi atenuata daca site-urile folosesc mecanismul HTTP Strict Transport Security (HSTS) pentru a forta browserele sa le acceseze intotdeauna prin conexiuni HTTPS securizate.
Cele mai recente versiuni ale browserelor majore suporta HSTS, dar pentru ca acest mecanism sa fie eficient impotriva atacurilor, si website-urile trebuie de asemenea sa-l implementeze.
Din pacate, implementarea HSTS in randul site-urilor HTTPS ramane scazuta. Conform celor mai recente statistici, doar 4,5% dintre primele 145.000 de site-uri HTTPS din lume suporta in prezent HSTS.