SchwachstellenCyberkriminalitätCloud-Sicherheit

Google schützt Chrome-Nutzer vor gestohlenen Sitzungs-Cookies mit neuer Technologie

Google schützt Chrome-Nutzer vor gestohlenen Sitzungs-Cookies mit neuer Technologie
Zusammenfassung

Google führt mit der Funktion „Device Bound Session Credentials" (DBSC) eine bedeutende Sicherheitsmaßnahme in Chrome ein, die ab Version 146 auf Windows-Systemen verfügbar ist. Diese Technologie adressiert eine der kritischsten Bedrohungen moderner Cybersicherheit: den Diebstahl von Session-Cookies durch Malware. Traditionell ermöglichen gestohlene Authentifizierungscookies Angreifern, ohne Passwort Zugriff auf Benutzerkonten zu erlangen – besonders dann, wenn die Schadsoftware bereits auf einem Gerät installiert ist und auf lokal gespeicherte Daten zugreifen kann. DBSC verhindert dies durch kryptografische Bindung der Authentifizierungssitzungen an das jeweilige Gerät und macht damit gestohlene Cookies schnell unbrauchbar. Die Innovation nutzt hardwaregestützte Sicherheitsmodule und generiert eindeutige Schlüsselpaare, deren private Komponenten nicht extrahiert werden können. Für deutsche Nutzer, Unternehmen und Behörden bedeutet dies einen erheblichen Sicherheitsgewinn, insbesondere angesichts der wachsenden Bedrohung durch Information-Stealing-Malware. Die Implementierung erfolgt als offener Standard durch die W3C, was breite Unterstützung von Webplattformen ermöglicht und ohne zusätzliche Benutzeraktionen funktioniert.

Der Diebstahl von Session-Cookies zählt zu den bevorzugten Angriffsszenarien von Cyberkriminellen, da mit diesen Tokens der Zugang zu Nutzerkonten möglich ist, ohne das Passwort zu kennen. Wie Google erklärte, ist es mit rein softwaregestützten Mitteln unmöglich, solche Diebstähle zuverlässig zu verhindern: “Wenn raffinierte Malware erst einmal auf einem Gerät Zugriff erlangt hat, kann sie die lokalen Dateien und den Speicher auslesen, wo Browser Authentifizierungscookies speichern.”

Die neue DBSC-Technologie basiert auf Hardware-gestützten Sicherheitsmodulen und funktioniert nach einem eleganten Prinzip: Das System generiert ein eindeutiges Schlüsselpaar (öffentlich/privat) und Chrome stellt kurzlebige Sitzungs-Cookies aus, um dem Server nachzuweisen, dass das private Schlüsselmaterial vorhanden ist. “Da Angreifer diesen Schlüssel nicht stehlen können, verfallen exfiltrierte Cookies schnell und werden für Angreifer nutzlos”, erklärt Google das Konzept.

Websites können den Schutz durch spezialisierte Registrierungs- und Aktualisierungsendpunkte aktivieren. Der Browser übernimmt die Kryptografie und Cookie-Rotation, sodass Web-Apps weiterhin standardmäßig Cookies für den Zugriff nutzen können. Frühere Tests mit einer Pilotversion der DBSC-Technologie zeigten laut Google eine signifikante Reduktion von Session-Diebstählen.

Ein wichtiger Nebeneffekt: Die Technologie verhindert auch unerwünschte Tracking-Aktivitäten. Da jede Browser-Sitzung durch einen anderen Schlüssel geschützt ist, können Websites diese nicht zur sitzungs- oder siteübergreifenden Verfolgung von Nutzern verwenden. Das Gerät teilt zudem keine Kennzeichen oder Attestierungsdaten mit dem Server, was Fingerprinting und Cross-Site-Tracking verhindert.

DBSC wurde als offener Web-Standard durch den W3C-Prozess entwickelt, und Microsoft half bei der Gestaltung mit. Plattformen wie Okta haben die Technologie getestet, und Implementierungsdetails stehen Web-Entwicklern zur Verfügung. Google arbeitet bereits an Erweiterungen: Das Unternehmen plant, DBSC auf föderierte Identitäten auszuweiten, verbesserte Registrierungsfunktionen einzuführen und softwaregestützte Schlüssel hinzuzufügen, um auch Geräten ohne dedizierte Sicherheitshardware Schutz zu bieten.

Ähnliche Artikel