Der RFC 2109 regelt, wie Cookies zur Statusverfolgung von HTTP-Sitzungen verwendet werden dürfen. Unter anderem ist dort geregelt, dass Cookies, die von einer Domain x.y.com gesetzt wurden, auch von einer Domain z.y.com ausgelesen werden dürfen. In Deutschland und vielen anderen Ländern ist das unproblematisch, denn heinz.mueller.de gehört letztlich zur selben Domain wie gerd.mueller.de.
Ein Blick auf die Domainstruktur, zum Beispiel, von Großbritanntien macht aber das Problem deutlich: In der Frühzeit des Internet hat man sich dort, und in einigen anderen Ländern, entschieden, es nicht bei der Länderdomain zu belassen, sondern eine weitere Domain-Ebene einzuführen. Britische Domains haben deshalb die Struktur name.co.uk, name.ac.uk und name.org.uk.
Streng nach RFC 2109 ergibt sich daraus, dass die Domain john.co.uk auch Cookies von julie.co.uk auslesen dürfte. Während andere Browser mit eigenen Regeln dafür sorgen, dass das nicht passiert, hält sich Safari stoisch an die Regel - mit den beschriebenen Folgen. Sicherheitsdienstleister Secunia empfiehlt, den Safari nur für den Besuch vertrauenswürdiger Websites einzusetzen. Einen Patch hat Apple bislang nicht veröffentlicht.
