Chrome 146 schützt Sessions: Google blockiert Cookie-Diebstahl : Neue Sicherheitsarchitektur bindet Sitzungen kryptografisch an Geräte

Mit der allgemeinen Verfügbarkeit von Device Bound Session Credentials (DBSC) in Chrome 146 für Windows hebt Google den Schutz von Web-Sitzungen auf ein neues Niveau. Die zunächst nur für Windows ausgerollte Funktion soll in einer kommenden Version auch auf macOS erweitert werden und adressiert eines der zentralen Probleme moderner Web-Sicherheit: den Diebstahl von Session-Cookies.

Angriffspunkt Session-Cookie

Beim Session-Hijacking extrahieren Angreifer unbemerkt gültige Sitzungsinformationen aus dem Browser. Diese sogenannten Session-Cookies ermöglichen es, sich ohne Passwort als legitimer Nutzer auszugeben. Noch schlimmer: Die Tokens besitzen oft lange Gültigkeitszeiträume und lassen sich gewinnbringend weiterverkaufen.

Die gängigste Eintrittspforte ist Infostealer-Malware. Familien wie Atomic, Lumma oder Vidar durchsuchen kompromittierte Systeme gezielt nach sensiblen Daten. Neben Zugangsdaten stehen insbesondere Cookies im Fokus, da sie direkten Zugriff auf aktive Sitzungen erlauben.

Google beschreibt die Lage: „Dieses Projekt stellt einen bedeutenden Fortschritt dar, um Session-Diebstahl zu bekämpfen, der weiterhin eine verbreitete Bedrohung darstellt.“

Kryptografische Bindung statt Vertrauen

DBSCs setzen genau an dieser Schwachstelle an. Die Technologie koppelt jede Web-Sitzung kryptografisch an ein spezifisches Endgerät. Selbst wenn ein Angreifer Cookies exfiltriert, fehlen ihm die notwendigen Schlüssel, um diese zu nutzen.

Technisch basiert der Ansatz auf hardwaregestützten Sicherheitsmodulen:

• Trusted Platform Module (TPM) unter Windows zur sicheren Schlüsselerzeugung
• Secure Enclave auf macOS für isolierte Schlüsselverwaltung

Diese Komponenten erzeugen ein eindeutiges Schlüsselpaar aus öffentlichem und privatem Schlüssel. Der private Schlüssel verbleibt fest im Gerät und kann nicht exportiert werden.

Google erläutert: „Neue, kurzlebige Session-Cookies werden nur ausgestellt, wenn Chrome den Besitz des zugehörigen privaten Schlüssels nachweist.“ Dadurch verlieren gestohlene Cookies innerhalb kurzer Zeit ihre Gültigkeit.

Sicherheit ohne Bruch der Nutzererfahrung

Ein zentraler Vorteil von DBSC ist die transparente Integration. Sollte ein Gerät keine sichere Schlüsselablage unterstützen, fällt das System automatisch auf das bisherige Verhalten zurück, ohne den Authentifizierungsprozess zu unterbrechen.

Diese Abwärtskompatibilität erleichtert die Einführung in heterogenen Umgebungen erheblich und macht die Technologie auch für Unternehmen attraktiv.

Datenschutz als Designprinzip

Neben der Sicherheitswirkung adressiert Google auch Datenschutzbedenken. Die Architektur ist bewusst so gestaltet, dass keine geräteübergreifende Nachverfolgung möglich ist.

Das Protokoll folgt einem konsequent datensparsamen Ansatz: „Es übermittelt bewusst keine eindeutigen Gerätekennungen oder zusätzlichen Nachweise über die Hardware“, so Google. Stattdessen kommt ausschließlich ein temporärer, sitzungsspezifischer öffentlicher Schlüssel zum Einsatz, der nur für die jeweilige Verbindung gültig ist. Auf diese Weise kann der Server zwar prüfen, ob die Sitzung legitim ist, erhält jedoch keinerlei Informationen, die eine dauerhafte Wiedererkennung des Geräts ermöglichen würden. Klassische Tracking-Methoden wie Fingerprinting oder seitenübergreifende Profilbildung werden damit technisch unterbunden.

Perspektiven für Unternehmen

Google berichtet bereits von einer signifikanten Reduktion von Session-Diebstahl während der Testphase. Perspektivisch soll die Technologie auf weitere Plattformen ausgeweitet und stärker in Unternehmensumgebungen integriert werden.

Die gemeinsam mit Microsoft entwickelte Architektur zielt zudem auf einen offenen Web-Standard ab. Damit könnte DBSC langfristig zu einem neuen Sicherheitsfundament für Web-Authentifizierung werden – insbesondere in Zeiten zunehmender Malware-Automatisierung und professioneller Cyberkriminalität.