Technisch setzt DBSC auf hardwaregestützte Sicherheitsmodule, die ein eindeutiges Schlüsselpaar aus öffentlichem und privatem Schlüssel erzeugen. Chrome stellt fortlaufend neue, kurzlebige Sitzungs-Cookies aus, um dem Server gegenüber den Besitz des privaten Schlüssels zu belegen. Da Angreifer diesen Schlüssel nicht stehlen können, laufen abgegriffene Cookies laut Google schnell ab und werden für sie nutzlos.

Webseiten können den Schutz über eigene Endpunkte zur Registrierung und Aktualisierung übernehmen. Die kryptografischen Abläufe und das Rotieren der Cookies erledigt der Browser, sodass Web-Anwendungen weiterhin mit gewöhnlichen Cookies für den Zugriff arbeiten können.

Nach Angaben von Google zeigte eine frühe Version des Protokolls, die im vergangenen Jahr ausgerollt wurde, bei aktiviertem DBSC einen deutlichen Rückgang des Sitzungsdiebstahls.

Auf Datenschutz hat Google eigenen Angaben zufolge geachtet: Weil jede Browsersitzung von einem anderen Schlüssel gestützt wird, können Webseiten Nutzer darüber nicht über Sitzungen oder Seiten hinweg verfolgen. Zudem gibt das Gerät keine Kennungen oder Attestierungsdaten an den Server weiter, um Fingerprinting und seitenübergreifendes Tracking zu vermeiden.

DBSC wurde laut Google als offener Webstandard über den W3C-Prozess entwickelt, an dessen Gestaltung Microsoft mitwirkte. Okta und weitere Web-Plattformen haben die Technik getestet, und Details zur Umsetzung sind in einen Leitfaden für Webentwickler eingeflossen.

Google arbeitet zudem daran, föderierte Identitäten abzusichern. Dazu soll DBSC um die Unterstützung herkunftsübergreifender Bindungen erweitert werden. Außerdem sind erweiterte Registrierungsfunktionen geplant, die DBSC-Sitzungen an bereits vorhandenes, vertrauenswürdiges Schlüsselmaterial koppeln. Möglich wäre laut Google künftig auch der Einsatz softwarebasierter Schlüssel, um den Schutz auf Geräten ohne dedizierte Sicherheitshardware verfügbar zu machen.