Ein Session-Cookie wird serverseitig auf Basis von Benutzername und Passwort erzeugt und fungiert als Authentifizierungs-Token, das in der Regel über einen längeren Zeitraum gültig ist. Der Server nutzt es zur Identifikation und übermittelt es an den Browser, der es bei jedem Zugriff auf den Online-Dienst vorlegt. Da sich damit eine Anmeldung ohne Eingabe von Zugangsdaten durchführen lässt, setzen Angreifer auf spezialisierte Schadsoftware, um solche Cookies einzusammeln.

Laut Google sind mehrere Infostealer-Familien wie LummaC2 zunehmend ausgefeilter darin geworden, diese Anmeldedaten abzugreifen, und verschaffen Angreifern so Zugang zu Nutzerkonten. Das Unternehmen betont, dass es keine rein softwareseitige Lösung gibt: Sobald hochentwickelte Schadsoftware Zugriff auf eine Maschine erlangt habe, könne sie die lokalen Dateien und den Speicher auslesen, in denen Browser ihre Cookies ablegen – auf keinem Betriebssystem lasse sich der Cookie-Diebstahl allein mit Software zuverlässig verhindern.

DBSC setzt an dieser Stelle an. Die Ausstellung neuer, kurzlebiger Session-Cookies ist davon abhängig, dass Chrome dem Server den Besitz des zugehörigen privaten Schlüssels nachweist. Fehlt dieser Schlüssel, ist ein abgegriffenes Cookie für den Angreifer praktisch wertlos.

Das Protokoll wurde laut Google von Grund auf datenschutzfreundlich gestaltet: Jede Sitzung erhält einen eigenen Schlüssel, sodass Websites die Aktivität eines Nutzers nicht über mehrere Sitzungen oder Seiten auf demselben Gerät hinweg zusammenführen können. Ausgetauscht wird nur der pro Sitzung nötige öffentliche Schlüssel zum Nachweis des Schlüsselbesitzes; Geräte-Identifikatoren werden nicht preisgegeben.

In einem einjährigen Test einer frühen DBSC-Version – unter anderem mit Okta – beobachtete Google einen deutlichen Rückgang von Session-Diebstählen. Das Protokoll wurde gemeinsam mit Microsoft als offener Web-Standard entwickelt, mit Beiträgen aus der Branche, die für Web-Sicherheit zuständig ist.

Websites können auf die hardwaregebundenen Sitzungen umstellen, indem sie ihren Backends eigene Endpunkte für Registrierung und Erneuerung hinzufügen, ohne die Kompatibilität mit dem bestehenden Frontend aufzugeben. Implementierungsdetails stellt Google in einer Anleitung bereit; die Spezifikationen finden sich beim World Wide Web Consortium (W3C), eine erläuternde Beschreibung auf GitHub.