Google laat gebruikers van Chrome 135 een nieuwe maatregel testen die cookiediefstal moet voorkomen. Volgens Google raken veel internetgebruikers besmet met malware die sessiecookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd.

Door sessiecookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen. Als oplossing tegen dergelijke cookiediefstal kwam Google vorig jaar met 'Device Bound Session Credentials' (DBSC). Het techbedrijf wil dat dit uiteindelijk een open webstandaard wordt.

DBSC koppelt de ingelogde sessie van de gebruiker aan het onderliggende apparaat. Een aanvaller kan dan nog steeds cookies stelen, maar ze niet op zijn eigen systeem gebruiken omdat ze alleen op het betreffende apparaat van de gebruiker werken. Bij DBSC maakt de browser een public/private key pair aan op het apparaat en gebruikt het besturingssysteem om de private key zo op te slaan dat die lastig is te exporteren.

Dit kan bijvoorbeeld via de Trusted Platform Module (TPM). Daarnaast wordt er ook naar softwarematige oplossingen gekeken. De server waarop de gebruiker inlogt koppelt de sessie aan de public key van de gebruiker en kan gedurende de levensduur van de sessie verifiëren of de gebruiker de bijbehorende private key bezit. Google stelt dat voor elke sessie een unieke key wordt gebruikt en DBSC websites niet in staat stelt om keys van verschillende sessies op hetzelfde apparaat te correleren. Dit moet volgens Google 'persistent user tracking' voorkomen.

Verder claimt het techbedrijf dat DBSC geen betekenisvolle informatie over het apparaat lekt. De enige informatie die naar de server wordt gestuurd is de per-sessie public key, die de server gebruikt om later te controleren dat de gebruiker ook de bijbehorende private key in bezit heeft. Gebruikers kunnen de gemaakte keys op elk moment verwijderen. Wanneer gebruikers geen cookies accepteren wordt DBSC uitgeschakeld. Google verwacht op basis van de hardware waarmee Chrome-gebruikers werken dat DBSC voor ongeveer de helft van desktopgebruikers beschikbaar komt.

"DBSC is ontworpen om security te verbeteren en tegelijkertijd de privacy van gebruikers te beschermen", zegt José Luis Zapata van Google. Hij voegt toe dat de maatregel geen nieuwe trackingvector oplevert en er ook geen lange termijn device fingerprinting mogelijk is. Verder kunnen gebruikers zoals gezegd sessies en keys zelf verwijderen. "Door DBSC te implementeren kunnen we gezamenlijk de risico's van session hijacking verminderen en authenticatieveiligheid voor gebruikers verbeteren", aldus Zapata. DBSC is als origin trial beschikbaar in Chrome 135.