Gäbe es keine Cookies, wüssten Webseiten nie, wen sie gerade vor sich haben. Für Nutzer:innen wäre das ziemlich unbequem: Sie müssten sich ständig neu bei sozialen Netzwerken anmelden, Einstellungen auf Webseiten immer wieder vornehmen und verlören ihre mühsam zusammengestellten Warenkörbe in Online-Shops, sobald sie die Seite schließen. Leider kann die Funktionsweise von Cookies aber auch zu bösartigen Zwecken genutzt werden: So können sich Angreifer:innen mit ihrer Hilfe als eingeloggte Nutzer:innen ausgeben und in deren Namen zum Beispiel Posts in den sozialen Netzwerken absetzen oder sogar Online-Überweisungen tätigen. „Ein solcher Angriff wird Cross-Site-Request-Forgery genannt und ist nicht die einzige Attacke dieser Art“, erklärt Soheil Khodayari. „Auch sogenannte Cross-Site Leaks nutzen die Funktionalität von Cookies aus. Sie dienen allerdings nicht dazu, Aktionen im Namen der Nutzer:innen auszuführen, sondern können Informationen über sie durchsickern lassen.“
Die neuen SameSite-Richtlinien sollen solche Angriffe künftig verhindern oder zumindest deutlich erschweren. Doch was genau bedeutet SameSite und was wird damit geregelt? SameSite ist ein neues Cookie-Attribut, das Google schon im Jahr 2016 in seinem Browser Chrome eingeführt hat. Attribute regeln, welche Eigenschaften Cookies haben. Dazu gehört zum Beispiel, wann sie auslaufen oder wie groß ihr Geltungsbereich ist. Das SameSite-Attribut legt fest, unter welchen Bedingungen Cookies von Drittanbietern an die besuchten Webseiten gesendet werden dürfen. Diese Frage stellt sich, wann immer auf einer Webseite Dienste von Drittanbieter:innen eingebunden sind, zum Beispiel in Form von Werbung, Kartenmaterial, Anmelde-Buttons oder eingebetteten Videos.
Für das SameSite-Attribut können Entwickler:innen seither die Werte „strict“, „lax“ oder „none“ festlegen. Hinter diesen Begriffen stecken klare Regeln, wie die Seiten mit den Cookies Dritter verfahren. „Der Wert ‚strict‘ bedeutet, es werden keine Cookies zugelassen, die nicht von der ursprünglich angesurften Seite stammen. ‚Lax‘ regelt, dass Cookies von anderen Seiten nur gesendet werden dürfen, wenn Nutzer:innen einen entsprechenden Link anklicken, also zum Beispiel ein eingebundenes Youtube-Video aktiv aufrufen und zur Youtube-Webseite weitergeleitet werden. Setzen Entwickler:innen das Attribut auf ‚none‘, werden Cookies einfach weiter in allen Kontexten gesendet“, erklärt Khodayari. Das war lange Zeit die Standard-Einstellung, bevor es das Attribut gab und noch einige Zeit nach seiner Einführung – bis Google im Juli 2020 „lax“ endgültig zum Standard erhob. Mittlerweile unterstützen das neben Chrome viele weitere Browser, darunter sind zum Beispiel Edge und Opera.
Zeit für die Gretchenfrage: Sind die Nutzer:innen dieser Browser damit besser vor Angriffen geschützt? „Ja. Die SameSite-Cookie-Richtlinien sind wirklich gut. Allerdings sind Cross-Site-Attacken damit keineswegs tot“, sagt der CISPA-Forscher. Entwickler:innen müssen laut dem Forscher verstehen, wie die neuen Richtlinien wirken sollen, weil sonst Fehler bei der Implementierung drohen. „Unsere Studie zeigt außerdem, dass es teilweise möglich ist, die neuen Richtlinien zu umgehen. Zudem greifen sie in der Praxis nicht bei allen Arten von Anfragen, die zwischen der besuchten Webseite und den Seiten von Drittanbieter:innen gesendet werden. „So sind Angriffe auch gegen beliebte Webseiten wie Tumblr, Twitch, SoundCloud, Mailchimp und Pixiv möglich.“
Die Studie zeigt außerdem, dass sich bislang nur rund 19 Prozent der Webseitenbetreiber:innen der Top 500 000 Seiten im Alexa-Ranking überhaupt Gedanken um ihre Einstellungen gemacht haben und gezielt eine der drei Regelungen adaptiert haben. Zugleich zeigt sich gerade bei dieser aktiven Gruppe ein unguter Trend: „Je populärer die Seiten sind, desto häufiger fanden wir die weniger sichere Einstellung ‚none‘ vor.“ 211 Seiten, die auf die Standardeinstellung „lax“ gesetzt wurden, hat Khodayari genauer untersucht, um sich über Funktionseinbußen ein Bild zu verschaffen. „Rund ein Fünftel der Anfragen auf den Seiten sind durch die Umstellung kaputt gegangen. Davon waren überwiegend Werbeanzeigen betroffen, die nicht mehr korrekt dargestellt wurden, aber auch Like-Buttons und andere eingebettete Inhalte.“
Ein weiteres Problem für die sichere Umsetzung der Richtlinien sind sogenannte Webframeworks, die den Bau von Webseiten erleichtern sollen und relativ häufig von Entwickler:innen genutzt werden. „Selbst, wenn die Browser die Lax-Richtlinie umsetzen, passiert es bei 24 Prozent der meistgenutzten 25 Frameworks, das sie die Lax-by-default-Richtlinien des Browsers stillschweigend umkehren, so dass Cookies von Drittanbietern einfach erneut gesendet werden.“
Khodayaris Fazit lautet: „Wir sind mit den neuen Richtlinien schon auf einem guten Weg. Aber es muss noch einiges passieren, um Cross-Site-Angriffe in Zukunft wirksam zu verhindern. Zum Beispiel müssen SameSite-Richtlinien feiner abgestufte Anfragekontexte abdecken und auch bei den Webframeworks gibt es noch Verbesserungsbedarf. Zudem müssen wir die Entwickler:innen mit ins Boot holen.“ Der CISPA-Forscher hofft, dass er mit seiner Studie Impulse für weitere Verbesserungen der SameSite-Richtlinien setzen kann.
Mehr Infos zu den SameSite-Richtlinien: https://canopus-k.site/same-site-wiki
