Tin tặc có thể lợi dụng việc không xác minh tính toàn vẹn của cookie trong trình duyệt để trích xuất thông tin từ những kết nối Web được mã hóa.

Cookie, những tập tin mà các trang web tạo ra trong trình duyệt để ghi nhớ thông tin người dùng đã đăng nhập và theo dõi những thông tin khác về họ, có thể bị tin tặc lợi dụng để khai thác thông tin nhạy cảm từ những kết nối HTTPS được mã hóa.
Vấn đề này xuất phát từ thực tế là chuẩn Quản lý Trạng thái HTTP (HTTP State Management), hay chuẩn RFC 6265 xác định cách mà cookie được tạo ra và xử lý, không chỉ định bất kỳ cơ chế nào để cách ly hoặc kiểm tra tính toàn vẹn của cookie.
Trình duyệt Web không luôn luôn xác thực những tên miền mà đã thiết lập cookie. Điều đó cho phép tin tặc chèn cookie thông qua các kết nối HTTP không được mã hóa mà sau đó sẽ được truyền đi cho các kết nối HTTPS thay vì những thiết lập bởi chính những trang web sử dụng HTTPS, Trung tâm điều phối CERT (CERT/CC) tại Đại học Carnegie Mellon cho biết trong một tư vấn hôm thứ Năm.
Một trong những lý do mà xảy ra việc này là bởi các tên miền con có thể thiết lập cookie mà có thể sử dụng một cách hợp lệ đối với tên miền cấp trên hoặc tên miền con khác.
Ví dụ, nếu subdomain.domain.com thiết lập một cookie với thuộc tính tên miền của domain.com, cookie đó cũng có thể được trình duyệt gửi đến subdomain2.domain.com. Những trang web được trỏ bởi tên miền subdomain2 có thể không phân biệt được giữa cookie của chính mình với cookie giả mạo khác.
Các cookie cũng không bị cô lập bởi số hiệu cổng hay bởi lược đồ. Một máy chủ có thể lưu trữ nhiều trang web mà truy cập bởi cùng một tên miền, nhưng trên các cổng khác nhau. Những trang web đó sẽ có thể đọc và ghi các cookie của nhau.
Tất cả những mâu thuẫn này cho phép tin tặc thực hiện các cuộc tấn công như tiêm nhiễm cookie hoặc tung cookie để trích xuất thông tin nhạy cảm từ các kết nối HTTPS.
Một nhóm nghiên cứu từ Đại học California, Berkeley, Đại học Thanh Hoa ở Bắc Kinh, viện Khoa học Máy tính Quốc tế và Microsoft đã thử nghiệm ảnh hưởng của những cuộc tấn công như vậy trên các trang web HTTPS cao cấp khác nhau và trình bày những phát hiện của họ vào tháng 8 tại hội nghị USENIX.
Họ phát hiện ra rằng họ có thể chiếm quyền điều khiển các tiện ích trò chuyện của người sử dụng trong giao diện Gmail, lấy cắp lịch sử tìm kiếm trên Google, lấy cắp thông tin thẻ tín dụng trên trang web UnionPay của Trung Quốc, chiếm đoạt tiền gửi trên JD.com, chiếm quyền các hiệp hội Google OAuth và BitBucket, theo dõi và kiểm soát các giỏ hàng trên các trang thương mại điện tử, theo dõi lịch sử mua hàng trên Amazon.com và nhiều hơn nữa.
"Một số nhà cung cấp trình duyệt Web đã ghi nhận những nỗ lực trước đó để đảm bảo việc quản lý cookie an toàn hơn nhưng đều thất bại do thiếu một tiêu chuẩn áp dụng rộng rãi," theo CERT/CC nói trong tư vấn của họ.
Cho đến khi các cơ quan tiêu chuẩn đưa ra một giải pháp, vấn đề này có thể được giảm nhẹ nếu trang web sử dụng cơ chế HSTS (HTTP Strict Transport Security) để buộc các trình duyệt phải luôn luôn truy cập chúng qua các kết nối HTTPS an toàn.
Các phiên bản mới nhất của tất cả trình duyệt chính hiện nay đều hỗ trợ HSTS, nhưng để cho cơ chế này chống lại các cuộc tấn công tiêm cookie một cách hiệu quả, các trang web cũng cần phải thực hiện nó.
Thật không may, tỷ lệ các trang web HTTPS áp dụng HSTS vẫn còn thấp. Theo thống kê mới nhất từ dự án SSL Pulse, chỉ có 4,5% trong tổng số 145.000 trang web HTTPS trên Internet hiện nay hỗ trợ HSTS.