Google heeft een nieuwe maatregel aangekondigd die gebruikers tegen cookiediefstal moet beschermen. Het techbedrijf stelt dat het geen nieuwe trackingmethode wordt en gebruikers het kunnen uitschakelen. Volgens Google raken veel internetgebruikers besmet met malware die sessiecookies van het systeem steelt. Deze cookies geven aan dat de gebruiker op een bepaalde website of account is ingelogd. Ze worden aangemaakt nadat de gebruiker is ingelogd.
Door sessiecookies te stelen heeft een aanvaller dan ook direct toegang tot het betreffende account, waardoor het niet meer nodig is om het wachtwoord van de gebruiker te hebben of tweefactorauthenticatie te omzeilen. Als oplossing tegen dergelijke cookiediefstal heeft Google nu 'Device Bound Session Credentials' (DBSC) bedacht. Het techbedrijf wil dat dit uiteindelijk een open webstandaard wordt.
DBSC koppelt de ingelogde sessie van de gebruiker aan het onderliggende apparaat. Een aanvaller kan dan nog steeds cookies stelen, maar ze niet op zijn eigen systeem gebruiken omdat ze alleen op het betreffende apparaat van de gebruiker werken. Bij DBSC maakt de browser een public/private key pair aan op het apparaat en gebruikt het besturingssysteem om de private key zo op te slaan dat die lastig is te exporteren. Dit kan bijvoorbeeld via de Trusted Platform Module (TPM). Daarnaast wordt er ook naar softwarematige oplossingen gekeken.De server waarop de gebruiker inlogt koppelt de sessie aan de public key van de gebruiker en kan gedurende de levensduur van de sessie verifiëren of de gebruiker de bijbehorende private key bezit. Google stelt dat voor elke sessie een unieke key wordt gebruikt en DBSC websites niet in staat stelt om keys van verschillende sessies op hetzelfde apparaat te correleren. Dit moet volgens Google 'persistent user tracking' voorkomen.
Verder claimt het techbedrijf dat DBSC geen betekenisvolle informatie over het apparaat lekt. De enige informatie die naar de server wordt gestuurd is de per-sessie public key, die de server gebruikt om later te controleren dat de gebruiker ook de bijbehorende private key in bezit heeft. Gebruikers kunnen de gemaakte keys op elk moment verwijderen. Wanneer gebruikers geen cookies accepteren wordt DBSC uitgeschakeld.
Google verwacht op basis van de hardware waarmee Chrome-gebruikers werken dat DBSC voor ongeveer de helft van desktopgebruikers beschikbaar komt. Op dit moment wordt er geëxperimenteerd met een prototype van DBSC dat alleen bij een Google-account is te gebruiken. Later dit jaar moeten er verdere tests plaatsvinden. Google benadrukt verder dat DBSC in een third-party context dezelfde beschikbaarheid en segmentatie heeft als third-party cookies, om er zo voor te zorgen dat DBSC geen nieuwe trackingmethode wordt zodra third-party cookies zijn uitgefaseerd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.