Een probleem met de manier waarop HTTP-cookies worden geplaatst kan ervoor zorgen dat aanvallers HTTPS kunnen omzeilen en privégegevens kunnen stelen, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Het probleem speelt in alle grote browsers.

...Als oplossing stelt de organisatie dat de standaard voor cookies mogelijk moet worden aangepast. In de tussentijd adviseren de onderzoekers aan websites om HSTS (HTTP Strict Transport Security) voor het top-level domein in te stellen en de "includeSubDomains" optie te gebruiken. Dit voorkomt gedeeltelijk de mogelijkheid van een aanvaller om top-level cookies te plaatsen die de cookies voor een subdomein, zoals www.domeinnaam.tld, overschrijven.

Eindgebruikers krijgen het advies om de meest recente browserversie te gebruiken. Met name IE-gebruikers doen hier verstandig aan. Internet Explorer 11 is namelijk de enige IE-versie die HSTS ondersteunt.

Alles bij de bron; Security