Google hat eine neue Sicherheitsfunktion vorgestellt, die Nutzer vor dem Diebstahl von Cookies schützen soll. Device Bound Session Credentials (DBSC) verknüpft Cookies mit dem Gerät, auf dem sie erstellt wurden – ein gestohlenes Cookie soll auf dem Gerät des Diebs nicht mehr funktionieren.
Cookies speichern unter anderem Websiteeinstellungen und Browserdaten, die eine nahtlose Nutzung von Seiten und Diensten im Internet erleichtern sollen. Cyberkriminelle haben es unter anderem auf Cookies abgesehen, mit denen sich Browsersitzungen übernehmen lassen – solche Cookies werden in Untergrundforen zum Verkauf angeboten und erlauben es, die Kontrolle über Nutzerkonten zu übernehmen.
„DBSC zielt darauf ab, durch Cookie-Diebstahl verursachtes Account-Hijacking zu reduzieren. Dies geschieht durch die Einführung eines Protokolls und einer Browser-Infrastruktur, um den Besitz eines kryptografischen Schlüssels zu erhalten und nachzuweisen. Die größte Herausforderung bei Cookies als Authentifizierungsmechanismus ist, dass sie sich nur für Inhaber-Token-Schemata eignen. Auf Desktop-Betriebssystemen fehlt die Anwendungsisolierung, und lokale Malware kann im Allgemeinen auf alles zugreifen, was auch der Browser selbst kann, und der Browser muss in der Lage sein, auf Cookies zuzugreifen. Auf der anderen Seite ermöglicht die Authentifizierung mit einem privaten Schlüssel die Verwendung eines Schutzes auf Systemebene gegen die Exfiltration von Schlüsseln“, beschreibt Google die Sicherheitsfunktion auf GitHub.
Unter anderem ist derzeit vorgesehen, dass DBSC eine Programmierschnittstelle für Websites zur Verfügung stellt, mit der sich die Schlüssel verwalten lassen. Ein Protokoll soll zudem regelmäßig und automatisch den Besitz des Cookies gegenüber einem Webserver bestätigen. Dadurch sollen die Möglichkeiten von Schadsoftware eingeschränkt werden, Cookies zu stehlen und zu missbrauchen. Darüber hinaus prüft Google die Möglichkeit, Cookies auch über ein Trusted Plattform Module, wie es für Windows 11 vorgeschrieben ist, an ein Gerät zu binden.
Eine Vorabversion von DBSC testet Google derzeit mit Nutzern von Google-Konten und Chrome Beta. Ende 2024 sollen die Tests über den hauseigenen Browser Chrome ausgeweitet werden. Die Verteilung erfolgt automatisch über die Update-Funktion von Chrome.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…