Chrome bindet Sessions ans Gerät: Das Ende des Cookie-Diebstahls?

Session-Cookies sind seit Jahren ein beliebtes Ziel für Cyberkriminelle. Wer solche Cookies erbeutet, kann sich in laufende Nutzersitzungen einschleichen, ohne jemals das eigentlich Passwort zu kennen. Gestohlene Cookies werden gehandelt und von Angreifern genutzt, solange ihre Laufzeit es erlaubt.

Mit Chrome 146 nimmt sich Google diesem Problem nun unter Windows an, indem eine neue Funktion namens Device Bound Session Credentials (DBSC) eingeführt wird. Das Prinzip erinnert an Passkeys: Beim Start einer Sitzung erzeugt Chrome ein kryptografisches Schlüsselpaar, dessen privater Schlüssel das Gerät nie verlässt. Er liegt geschützt im TPM-Chip des Rechners, unter macOS entsprechend in der Secure Enclave. Server können während einer aktiven Sitzung über eine API den Nachweis anfordern, dass der Client tatsächlich noch im Besitz dieses privaten Schlüssels ist.

Was das für Angreifer bedeutet, ist eindeutig. Ein gestohlener Cookie ohne den dazugehörigen, nicht exportierbaren Schlüssel ist wertlos. In Kombination mit kürzeren Cookie-Laufzeiten läuft ein entwendetes Token so schnell ab, bevor es überhaupt sinnvoll eingesetzt werden kann. Google berichtet, nach internen Tests bereits einen spürbaren Rückgang beim Session-Diebstahl festgestellt zu haben.

Die Funktion ist standardmäßig aktiv, ein Eingreifen durch den Nutzer ist also nicht nötig. Webentwickler können ihre eigenen Systeme ebenfalls mit DBSC absichern, Google stellt entsprechende Dokumentation bereit und das W3C veröffentlicht eine offizielle Protokollspezifikation. Geplante Erweiterungen umfassen SSO-Unterstützung sowie Lösungen für Geräte ohne dedizierte Sicherheitshardware. Für die macOS Version von Chrome soll dieses neue Sicherheitsfeature übrigens in Zukunft auch noch folgen.