Google voorziet Chrome van maatregel om cookiediefstal te voorkomen

In dit artikel:

Google heeft in Chrome 145 een nieuwe beveiligingsmaatregel ingebouwd om het misbruik van gestolen session cookies te bemoeilijken. De functie heet Device Bound Session Credentials (DBSC) en koppelt een ingelogde sessie aan het fysieke apparaat van de gebruiker. Daarmee wordt het lastiger voor malware die cookies rooft om diezelfde sessies op een ander systeem te hergebruiken.

Technisch genereert de browser per sessie een public/private keypair en slaat het besturingssysteem de private key zodanig op dat export moeilijk wordt (bijvoorbeeld via een Trusted Platform Module). Alleen de per-sessie public key wordt naar de server gestuurd; servers kunnen later verifiëren dat de gebruiker de corresponderende private key bezit. Google zegt dat keys niet gebruikt kunnen worden om verschillende sessies op hetzelfde apparaat te koppelen, zodat persistent tracking wordt tegengegaan, en dat DBSC geen substantiële apparaatinformatie lekt.

Gebruikers kunnen gemaakte keys verwijderen en wanneer iemand cookies weigert, werkt DBSC niet. Google testte de techniek al vorig jaar en wil dat DBSC uiteindelijk een open webstandaard wordt. Chrome 145 met DBSC rolt automatisch uit naar de meeste systemen.