Google hat eine Schwachstelle in Chrome behoben und die gestohlenen Cookies unbrauchbar gemacht

Google hat den Schutz vor Cookie-Sitzungsdiebstahl in Chrome 146 eingeführt

*Die neue Technologie – Device Bound Session Credentials (DBSC) – bindet die aktiven Sitzungen der Benutzer kryptografisch an die Hardware ihrer Geräte.*

Was sich geändert hat
Plattform | Funktionsweise des Schutzes
---|---
Windows | Nutzt das Trusted Platform Module (TPM). Der Chip erzeugt eindeutige Schlüssel, die nicht exportiert werden können. Neue Cookie-Sitzungen werden erst nach Bestätigung durch Chrome ausgegeben, dass der Benutzer den privaten Schlüssel besitzt.
macOS | Der Schutz wird in einem zukünftigen Browser-Update über Secure Enclave – ein TPM-Äquivalent – hinzugefügt.

Wie es funktioniert
1. Bei Erstellung einer neuen Sitzung erzeugt Chrome einen öffentlichen/privaten Schlüsselpaar, das an den Sicherheitchip gebunden ist.
2. Der Server erhält nur den öffentlichen Schlüssel und verwendet ihn zum Verschlüsseln der Cookie-Sitzung.
3. Um auf die Daten zuzugreifen, muss der Client den Besitz des privaten Schlüssels nachweisen – dies ist nur am selben Gerät möglich.
4. Wenn ein Angreifer die Cookie erbeutet, aber keinen Zugriff auf den Chip hat, wird die Sitzung sofort ungültig.

Warum das wichtig ist
* Sitzungs-Cookies sind Authentifizierungs‑Tokens, mit denen sich Benutzer ohne erneute Passworteingabe in Dienste einloggen können.
* Schadsoftware (Infostealer) wie LummaC2 liest diese Dateien und den Browser-Speicher, um Daten zu stehlen.
* Softwarebasierte Schutzmethoden sind nicht immer wirksam – wenn ein Angreifer Zugriff auf die Maschine hat, kann er Cookies beliebiger Komplexität erhalten.

DBSC minimiert den Datenaustausch: nur der öffentliche Schlüssel wird an den Server gesendet, während die Geräte-ID verborgen bleibt. Jede Sitzung ist mit einem eigenen Schlüssel geschützt, was das Tracking von Benutzeraktivitäten über verschiedene Sitzungen hinweg erschwert.

Testen und Unterstützung
* Google hat eine frühe Version von DBSC gemeinsam mit mehreren Webplattformen (einschließlich Okta) getestet.
* Es wurde ein deutlicher Rückgang der Sitzungsdiebstähle verzeichnet.
* Das Protokoll wurde in Zusammenarbeit mit Microsoft als offener Webstandard entwickelt und von Sicherheitsexperten genehmigt.

Wie Websites davon profitieren können
1. Fügen Sie Registrierungs- und Aktualisierungspunkte für sessionsbasierte Cookies, die DBSC verwenden, zu Ihrem Backend hinzu.
2. Dies beeinflusst nicht das bestehende Frontend – die Kompatibilität bleibt erhalten.

Spezifikationen sind auf der W3C‑Website verfügbar, und eine ausführliche Implementierungsanleitung finden Sie in der Google-Dokumentation sowie im GitHub-Repository.

Fazit: Die neue Funktion von Chrome 146 bietet einen zuverlässigeren Schutz vor Cookie-Sitzungsdiebstahl, indem sie diese an die Hardware des Benutzers bindet. Dadurch werden gestohlene Tokens nahezu sofort unbrauchbar und erhöhen die allgemeine Sicherheit von Webanwendungen.