Het toevoegen van een nieuwe beveiligingsmaatregel aan Chrome heeft ervoor gezorgd dat er minder cookies bij gebruikers van de browser worden gestolen, zo claimt Google. De maatregel heet Device Bound Session Credentials (DBSC) en zorgt ervoor dat websites de sessie van een ingelogde gebruiker kunnen koppelen aan het specifieke systeem van de gebruiker. Dit moet het volgens Google lastiger maken om gestolen session cookies op andere systemen te gebruiken.

Google stelt dat veel internetgebruikers besmet raken met infostealer-malware die session cookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd. Door session cookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen.

Als oplossing tegen dergelijke cookiediefstal bedacht Google Device Bound Session Credentials. Het techbedrijf wil dat dit uiteindelijk een open webstandaard wordt. DBSC koppelt de ingelogde sessie van de gebruiker aan het onderliggende apparaat. Bij DBSC maakt de browser een public/private key pair aan op het apparaat en gebruikt het besturingssysteem om de private key zo op te slaan dat die lastig is te exporteren. Dit kan bijvoorbeeld via de Trusted Platform Module van de computer.

Het uniek gegenereerde public/private key pair kan niet van de machine worden gestolen, aldus Google. Daarnaast wordt er gewerkt met cookies die zeer snel verlopen. De Chrome-versie op het systeem van de gebruiker kan met deze kortlevende cookies werken omdat de browser aan de server kan aantonen over de bijbehorende private key te beschikken. Omdat aanvallers deze key niet kunnen stelen en gestolen cookies snel verlopen zijn ze nutteloos voor aanvallers geworden, aldus Google.

Het techbedrijf stelt ook dat voor elke sessie een unieke key wordt gebruikt en DBSC websites niet in staat stelt om keys van verschillende sessies op hetzelfde apparaat te correleren. Dit moet volgens Google 'persistent user tracking' voorkomen. Verder claimt het techbedrijf dat DBSC geen betekenisvolle informatie over het apparaat lekt. De enige informatie die naar de server wordt gestuurd is de per-sessie public key, die de server gebruikt om later te controleren dat de gebruiker ook de bijbehorende private key in bezit heeft.

Google rolde vorig jaar een vroege versie van het protocol uit. Bij sessies die met DBSC waren beveiligd zegt Google dat het een aanzienlijke daling heeft gezien van het aantal gestolen session cookies. Google heeft DSBC nu breed beschikbaar gemaakt in Chrome 146 voor Windows en zal de beveiligingsmaatregel ook aan een komende release voor macOS toevoegen. Daarnaast kijkt Google ook naar de mogelijkheden voor het gebruik van software-gebaseerde keys voor systemen die niet over aparte 'secure hardware' beschikken.