Chrome: Google verbessert Schutz vor Cookie-Diebstahl

Die Sicherheitsfunktion verknüpft Cookies mit dem Gerät, auf dem sie erstellt werden. Google testet die Device Bound Session Credentials derzeit mit Chrome Beta.

Google hat eine neue Sicherheitsfunktion vorgestellt, die Nutzer vor dem Diebstahl von Cookies schützen soll. Device Bound Session Credentials (DBSC) verknüpft Cookies mit dem Gerät, auf dem sie erstellt wurden – ein gestohlenes Cookie soll auf dem Gerät des Diebs nicht mehr funktionieren.

Cookies speichern unter anderem Websiteeinstellungen und Browserdaten, die eine nahtlose Nutzung von Seiten und Diensten im Internet erleichtern sollen. Cyberkriminelle haben es unter anderem auf Cookies abgesehen, mit denen sich Browsersitzungen übernehmen lassen – solche Cookies werden in Untergrundforen zum Verkauf angeboten und erlauben es, die Kontrolle über Nutzerkonten zu übernehmen.

„DBSC zielt darauf ab, durch Cookie-Diebstahl verursachtes Account-Hijacking zu reduzieren. Dies geschieht durch die Einführung eines Protokolls und einer Browser-Infrastruktur, um den Besitz eines kryptografischen Schlüssels zu erhalten und nachzuweisen. Die größte Herausforderung bei Cookies als Authentifizierungsmechanismus ist, dass sie sich nur für Inhaber-Token-Schemata eignen. Auf Desktop-Betriebssystemen fehlt die Anwendungsisolierung, und lokale Malware kann im Allgemeinen auf alles zugreifen, was auch der Browser selbst kann, und der Browser muss in der Lage sein, auf Cookies zuzugreifen. Auf der anderen Seite ermöglicht die Authentifizierung mit einem privaten Schlüssel die Verwendung eines Schutzes auf Systemebene gegen die Exfiltration von Schlüsseln“, beschreibt Google die Sicherheitsfunktion auf GitHub.

Unter anderem ist derzeit vorgesehen, dass DBSC eine Programmierschnittstelle für Websites zur Verfügung stellt, mit der sich die Schlüssel verwalten lassen. Ein Protokoll soll zudem regelmäßig und automatisch den Besitz des Cookies gegenüber einem Webserver bestätigen. Dadurch sollen die Möglichkeiten von Schadsoftware eingeschränkt werden, Cookies zu stehlen und zu missbrauchen. Darüber hinaus prüft Google die Möglichkeit, Cookies auch über ein Trusted Plattform Module, wie es für Windows 11 vorgeschrieben ist, an ein Gerät zu binden.

Eine Vorabversion von DBSC testet Google derzeit mit Nutzern von Google-Konten und Chrome Beta. Ende 2024 sollen die Tests über den hauseigenen Browser Chrome ausgeweitet werden. Die Verteilung erfolgt automatisch über die Update-Funktion von Chrome.

Themenseiten: Authentifizierung, Browser, Chrome, Google, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Chrome: Google verbessert Schutz vor Cookie-Diebstahl

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *