Google hat eine neue Sicherheitsfunktion vorgestellt, die Nutzer vor dem Diebstahl von Cookies schützen soll. Device Bound Session Credentials (DBSC) verknüpft Cookies mit dem Gerät, auf dem sie erstellt wurden – ein gestohlenes Cookie soll auf dem Gerät des Diebs nicht mehr funktionieren.
Cookies speichern unter anderem Websiteeinstellungen und Browserdaten, die eine nahtlose Nutzung von Seiten und Diensten im Internet erleichtern sollen. Cyberkriminelle haben es unter anderem auf Cookies abgesehen, mit denen sich Browsersitzungen übernehmen lassen – solche Cookies werden in Untergrundforen zum Verkauf angeboten und erlauben es, die Kontrolle über Nutzerkonten zu übernehmen.
„DBSC zielt darauf ab, durch Cookie-Diebstahl verursachtes Account-Hijacking zu reduzieren. Dies geschieht durch die Einführung eines Protokolls und einer Browser-Infrastruktur, um den Besitz eines kryptografischen Schlüssels zu erhalten und nachzuweisen. Die größte Herausforderung bei Cookies als Authentifizierungsmechanismus ist, dass sie sich nur für Inhaber-Token-Schemata eignen. Auf Desktop-Betriebssystemen fehlt die Anwendungsisolierung, und lokale Malware kann im Allgemeinen auf alles zugreifen, was auch der Browser selbst kann, und der Browser muss in der Lage sein, auf Cookies zuzugreifen. Auf der anderen Seite ermöglicht die Authentifizierung mit einem privaten Schlüssel die Verwendung eines Schutzes auf Systemebene gegen die Exfiltration von Schlüsseln“, beschreibt Google die Sicherheitsfunktion auf GitHub.
Unter anderem ist derzeit vorgesehen, dass DBSC eine Programmierschnittstelle für Websites zur Verfügung stellt, mit der sich die Schlüssel verwalten lassen. Ein Protokoll soll zudem regelmäßig und automatisch den Besitz des Cookies gegenüber einem Webserver bestätigen. Dadurch sollen die Möglichkeiten von Schadsoftware eingeschränkt werden, Cookies zu stehlen und zu missbrauchen. Darüber hinaus prüft Google die Möglichkeit, Cookies auch über ein Trusted Plattform Module, wie es für Windows 11 vorgeschrieben ist, an ein Gerät zu binden.
Eine Vorabversion von DBSC testet Google derzeit mit Nutzern von Google-Konten und Chrome Beta. Ende 2024 sollen die Tests über den hauseigenen Browser Chrome ausgeweitet werden. Die Verteilung erfolgt automatisch über die Update-Funktion von Chrome.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…