Google hat eine neue Sicherheitsfunktion vorgestellt, die Nutzer vor dem Diebstahl von Cookies schützen soll. Device Bound Session Credentials (DBSC) verknüpft Cookies mit dem Gerät, auf dem sie erstellt wurden – ein gestohlenes Cookie soll auf dem Gerät des Diebs nicht mehr funktionieren.
Cookies speichern unter anderem Websiteeinstellungen und Browserdaten, die eine nahtlose Nutzung von Seiten und Diensten im Internet erleichtern sollen. Cyberkriminelle haben es unter anderem auf Cookies abgesehen, mit denen sich Browsersitzungen übernehmen lassen – solche Cookies werden in Untergrundforen zum Verkauf angeboten und erlauben es, die Kontrolle über Nutzerkonten zu übernehmen.
„DBSC zielt darauf ab, durch Cookie-Diebstahl verursachtes Account-Hijacking zu reduzieren. Dies geschieht durch die Einführung eines Protokolls und einer Browser-Infrastruktur, um den Besitz eines kryptografischen Schlüssels zu erhalten und nachzuweisen. Die größte Herausforderung bei Cookies als Authentifizierungsmechanismus ist, dass sie sich nur für Inhaber-Token-Schemata eignen. Auf Desktop-Betriebssystemen fehlt die Anwendungsisolierung, und lokale Malware kann im Allgemeinen auf alles zugreifen, was auch der Browser selbst kann, und der Browser muss in der Lage sein, auf Cookies zuzugreifen. Auf der anderen Seite ermöglicht die Authentifizierung mit einem privaten Schlüssel die Verwendung eines Schutzes auf Systemebene gegen die Exfiltration von Schlüsseln“, beschreibt Google die Sicherheitsfunktion auf GitHub.
Unter anderem ist derzeit vorgesehen, dass DBSC eine Programmierschnittstelle für Websites zur Verfügung stellt, mit der sich die Schlüssel verwalten lassen. Ein Protokoll soll zudem regelmäßig und automatisch den Besitz des Cookies gegenüber einem Webserver bestätigen. Dadurch sollen die Möglichkeiten von Schadsoftware eingeschränkt werden, Cookies zu stehlen und zu missbrauchen. Darüber hinaus prüft Google die Möglichkeit, Cookies auch über ein Trusted Plattform Module, wie es für Windows 11 vorgeschrieben ist, an ein Gerät zu binden.
Eine Vorabversion von DBSC testet Google derzeit mit Nutzern von Google-Konten und Chrome Beta. Ende 2024 sollen die Tests über den hauseigenen Browser Chrome ausgeweitet werden. Die Verteilung erfolgt automatisch über die Update-Funktion von Chrome.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…