Google start deze maand een tweede test met Device Bound Session Credentials (DBSC), een maatregel die moet voorkomen dat malware cookies van besmette systemen steelt. Begin dit jaar werd DBSC voor het eerst onder gebruikers van de browser getest. De nu aangekondigde test loopt door tot eind maart volgend jaar en is beschikbaar voor Windowscomputers met een Trusted Platform Module (TPM).

Volgens Google raken veel internetgebruikers besmet met malware die sessiecookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd. Door sessiecookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen.

Als oplossing tegen dergelijke cookiediefstal kwam Google vorig jaar met Device Bound Session Credentials. Het techbedrijf wil dat dit uiteindelijk een open webstandaard wordt. DBSC koppelt de ingelogde sessie van de gebruiker aan het onderliggende apparaat. Een aanvaller kan dan nog steeds cookies stelen, maar ze niet op zijn eigen systeem gebruiken omdat ze alleen op het betreffende apparaat van de gebruiker werken. Bij DBSC maakt de browser een public/private key pair aan op het apparaat en gebruikt het besturingssysteem om de private key zo op te slaan dat die lastig is te exporteren. Dit kan bijvoorbeeld via de Trusted Platform Module van de computer.

Google stelt dat voor elke sessie een unieke key wordt gebruikt en DBSC websites niet in staat stelt om keys van verschillende sessies op hetzelfde apparaat te correleren. Dit moet volgens Google 'persistent user tracking' voorkomen. Verder claimt het techbedrijf dat DBSC geen betekenisvolle informatie over het apparaat lekt. De enige informatie die naar de server wordt gestuurd is de per-sessie public key, die de server gebruikt om later te controleren dat de gebruiker ook de bijbehorende private key in bezit heeft. Gebruikers kunnen de gemaakte keys op elk moment verwijderen. Wanneer gebruikers geen cookies accepteren wordt DBSC uitgeschakeld.

Na een eerste 'origin trial' in mei van dit jaar heeft Google nu besloten de komende maanden een twee test uit te voeren. Deze test richt zich vooral op de betrouwbaarheid, consistentie en duidelijkheid in de "DBSC flow", laat Daniel Rubery van Google weten. Ontwikkelaars en gebruikers die aan de nieuwe testronde van DBSC willen meedoen kunnen zich via een website van Google hiervoor aanmelden.