Атакующие могут с помощью cookie извлекать закрытую информацию из соединений, шифруемых с помощью HTTPS, так как стандарт RFC 6265, определяющий принципы работы с файлами cookie, не предусматривает механизмов их изоляции и проверки целостности. Как объясняют в Координационном центре CERT, браузеры не всегда аутентифицируют домены, устанавливающие cookie; это позволяет злоумышленнику внедрять через незашифрованные HTTP-соединения cookie, которые потом будут передаваться взамен установленных сайтами, работающими по протоколу с шифрованием.
Одна из причин — субдомены могут устанавливать cookie, действительные для родительского домена и других субдоменов в нем. Кроме того, cookie не изолируются по номеру порта — если несколько сайтов на одном сервере доступны по одному домену, но на разных номерах портов, эти сайты смогут считывать и записывать cookie друг друга.
Все эти неувязки позволяют совершать атаки посредничества путем инъекций и подтасовки cookie. Исследователи на недавней конференции USENIX рассказали, как с использованием подобных методов можно выяснять историю поиска по Google, красть информацию по кредитным картам на сайте платежной системы и т. п. Проблему можно частично решить за счет поддержки на сайтах стандарта HTTP Strict Transport Security, отмечают в CERT/CC.
