Google heeft een nieuwe beveiligingsfunctie geïntroduceerd in Chrome om diefstal van sessiecookies tegen te gaan en zo het risico op accountcompromittering te verminderen. De functie, Device Bound Session Credentials (DBSC), werd in april 2024 aangekondigd en is nu beschikbaar in Chrome 146 voor Windows. Gebruikers van macOS krijgen de bescherming in een toekomstige browserupdate.

DBSC werkt door authenticatiesessies cryptografisch te koppelen aan het apparaat van de gebruiker, waardoor gestolen cookies onbruikbaar worden. Dergelijke cookies worden vaak buitgemaakt via malware die informatie steelt en vervolgens gedeeld of verkocht op cybercrimeplatforms, waarmee aanvallers toegang kunnen krijgen tot accounts zonder wachtwoord. Google benadrukt dat zodra geavanceerde malware toegang heeft tot een apparaat, het lokale bestanden en geheugen kan uitlezen waar browsers authenticatiecookies opslaan, waardoor softwarematige bescherming alleen onvoldoende is.

De nieuwe methode maakt gebruik van hardware-ondersteunde beveiligingsmodules die een uniek sleutelpaartje genereren. Chrome geeft vervolgens kortdurende sessiecookies uit die bewijzen dat het apparaat de private sleutel bezit. Omdat aanvallers deze sleutel niet kunnen stelen, verlopen gestolen cookies snel en zijn ze nutteloos. Websites kunnen deze bescherming implementeren via speciale registratie- en vernieuwingsendpoints, terwijl de browser de cryptografie en cookie-rotatie afhandelt. Hierdoor kunnen webapplicaties blijven werken met standaardcookies voor toegang.

Volgens Google heeft een vroege versie van dit protocol, die vorig jaar werd uitgerold, al geleid tot een aanzienlijke vermindering van sessiediefstal wanneer DBSC was ingeschakeld. Elke browsersessie wordt ondersteund door een andere sleutel, waardoor websites gebruikers niet kunnen volgen over sessies of sites heen. Ook deelt het apparaat geen identificatie- of attestatiegegevens met de server, wat fingerprinting en cross-site tracking voorkomt. DBSC is ontwikkeld als een open webstandaard via het W3C-proces, waarbij ook Microsoft heeft meegewerkt. Diverse webplatforms, waaronder Okta, hebben DBSC getest en er is een ontwikkelaarsgids beschikbaar met implementatiedetails.

Google werkt verder aan het beveiligen van federatieve identiteit door DBSC uit te breiden met ondersteuning voor cross-origin bindings, geavanceerde registratieopties om sessies te koppelen aan vertrouwde sleutels en mogelijk softwarematige sleutels om bescherming ook op apparaten zonder speciale beveiligingshardware mogelijk te maken.