Программист по имени Майк Перри обнаружил, что защищенные
подключения HTTPS, используемые при доступе к банковским счетам и
другим услугам через Интернет, не являются настолько безопасными,
какими их принято считать.
Каждый раз, когда пользователь вводит персональные данные для
получения доступа к своей учетной записи, эта секретная информация в
виде cookie-файла передается по безопасному каналу. Однако Перри
обнаружил, что разработчики сайтов не могут отделить защищенные
элементы cookies от незащищенных и, используя достаточно несложную
методику, злоумышленник может обмануть браузер и добиться передачи
cookies-файлов в рамках обычного http-соединения. Приложение
CookieMonster, написанное на языке Python, позволяет воспользоваться
обнаруженной уязвимостью любому желающему.
Разработчик CookieMonster предоставил свою программу ограниченному числу
экспертов в области информационной безопасности, однако в недалеком
будущем планирует выложить его в открытый доступ.