Categories: BrowserWorkspace

Chrome: Google verbessert Schutz vor Cookie-Diebstahl

Google hat eine neue Sicherheitsfunktion vorgestellt, die Nutzer vor dem Diebstahl von Cookies schützen soll. Device Bound Session Credentials (DBSC) verknüpft Cookies mit dem Gerät, auf dem sie erstellt wurden – ein gestohlenes Cookie soll auf dem Gerät des Diebs nicht mehr funktionieren.

Cookies speichern unter anderem Websiteeinstellungen und Browserdaten, die eine nahtlose Nutzung von Seiten und Diensten im Internet erleichtern sollen. Cyberkriminelle haben es unter anderem auf Cookies abgesehen, mit denen sich Browsersitzungen übernehmen lassen – solche Cookies werden in Untergrundforen zum Verkauf angeboten und erlauben es, die Kontrolle über Nutzerkonten zu übernehmen.

„DBSC zielt darauf ab, durch Cookie-Diebstahl verursachtes Account-Hijacking zu reduzieren. Dies geschieht durch die Einführung eines Protokolls und einer Browser-Infrastruktur, um den Besitz eines kryptografischen Schlüssels zu erhalten und nachzuweisen. Die größte Herausforderung bei Cookies als Authentifizierungsmechanismus ist, dass sie sich nur für Inhaber-Token-Schemata eignen. Auf Desktop-Betriebssystemen fehlt die Anwendungsisolierung, und lokale Malware kann im Allgemeinen auf alles zugreifen, was auch der Browser selbst kann, und der Browser muss in der Lage sein, auf Cookies zuzugreifen. Auf der anderen Seite ermöglicht die Authentifizierung mit einem privaten Schlüssel die Verwendung eines Schutzes auf Systemebene gegen die Exfiltration von Schlüsseln“, beschreibt Google die Sicherheitsfunktion auf GitHub.

Unter anderem ist derzeit vorgesehen, dass DBSC eine Programmierschnittstelle für Websites zur Verfügung stellt, mit der sich die Schlüssel verwalten lassen. Ein Protokoll soll zudem regelmäßig und automatisch den Besitz des Cookies gegenüber einem Webserver bestätigen. Dadurch sollen die Möglichkeiten von Schadsoftware eingeschränkt werden, Cookies zu stehlen und zu missbrauchen. Darüber hinaus prüft Google die Möglichkeit, Cookies auch über ein Trusted Plattform Module, wie es für Windows 11 vorgeschrieben ist, an ein Gerät zu binden.

Eine Vorabversion von DBSC testet Google derzeit mit Nutzern von Google-Konten und Chrome Beta. Ende 2024 sollen die Tests über den hauseigenen Browser Chrome ausgeweitet werden. Die Verteilung erfolgt automatisch über die Update-Funktion von Chrome.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Digitale Matching-Plattform für Unternehmen und IT-Freelancer

Damit IT-Freelancer und Unternehmen einfacher zueinander finden, hat der Personaldienstleister Hays die Matching-Plattform "Tribeworks" gelauncht.

19 Stunden ago

Mit ChatGPT und Dall-E richtig starten

Kostenloses Webinar der Online-Marketing-Academy am 18.7. zum Einstieg in KI-Tools.

19 Stunden ago

Podcast: Geschäftsprozesse mit generativer KI automatisieren

Wie sich unstrukturierte Daten unter anderem für die Automatisierung von Rechnungsprozessen nutzen lassen, erklärt Ruud…

20 Stunden ago

Was macht Check Point als attraktiver Arbeitgeber aus?

Kim Forsthuber von Checkpoint erklärt, wie sie zum Security-Anbieter gekommen ist und was sie an…

3 Tagen ago

Android-Malware Rafel RAT aufgedeckt

Bösartiges Tool wird für Spionage, Fernzugriff, Datenklau und Ransomware verwendet. Check Point-Sicherheitsforscher beobachten Angriffe in…

3 Tagen ago

US-Regierung verhängt Verkaufsverbot gegen Kasperskys Antivirensoftware

Es tritt bereits im Juli in Kraft. Ab Ende September wird auch der Wiederverkauf von…

3 Tagen ago