Google heeft in Chrome voor Windows DBSC geïntroduceerd, een technologie die sessies aan apparaten koppelt via hardwarebeveiliging, wat sessiediefstalaanvallen nutteloos maakt.
© E. Vartanyan
Google heeft in Chrome voor Windows een nieuwe beveiligingsfunctie geïntroduceerd die de bescherming van gebruikersgegevens online aanzienlijk kan veranderen. Deze technologie, Device Bound Session Credentials (DBSC) genaamd, is in Chrome versie 146 gedebuteerd.
De innovatie koppelt gebruikerssessies in essentie aan specifieke apparaten. In plaats van autorisatiegegevens alleen in cookies op te slaan, voegt het een extra beschermingslaag toe via cryptografische sleutels die op het hardwarebeveiligingsniveau worden gegenereerd, zoals via de TPM-module in Windows.
Een cruciaal aspect van DBSC is dat de privésleutel het apparaat nooit verlaat en niet kan worden geëxporteerd. Zelfs als een aanvaller toegang krijgt tot cookiebestanden, kan hij ze niet op een ander apparaat gebruiken. Dit maakt traditionele sessiediefstalaanvallen praktisch nutteloos. Voor websites vereist het adopteren van deze technologie geen grote aanpassingen. Ontwikkelaars kunnen specifieke mechanismen implementeren voor het registreren en bijwerken van sessies, terwijl de gebruikelijke cookie-workflow behouden blijft. De browser regelt de meeste versleutelings- en beveiligingstaken.
Momenteel is deze functie beschikbaar in Chrome 146 voor Windows, met een macOS-versie die in de komende weken wordt verwacht. Als deze technologie breed wordt geadopteerd, zou het een belangrijke stap kunnen worden in de strijd tegen accountdiefstal en het verhogen van de algemene online beveiligingsstandaarden.