Wir freuen uns, Ihnen mitteilen zu können, dass Anmeldedaten für gerätegebundene Sitzungen (Device Bound Session Credentials, DBSC) jetzt in Chrome 145 unter Windows verfügbar sind. Sie bieten eine neue Möglichkeit, Nutzer vor Cookie-Diebstahl zu schützen.
Sitzungscookies sind schon lange ein beliebtes Ziel für Angreifer. Durch den Diebstahl von Cookies kann ein Angreifer die Identität eines Nutzers annehmen und Zugriff auf dessen Konten erhalten. DBSC trägt dazu bei, Nutzersitzungen zu schützen, indem sie an das Gerät gebunden werden, auf dem sie ausgeführt werden. Es bindet Authentifizierungssitzungen kryptografisch an ein Gerät, indem es ein Paar aus öffentlichem und privatem Schlüssel auf dem Gerät erstellt. In Chrome unter Windows werden diese Schlüssel in der Hardware mit dem Trusted Platform Module (TPM) geschützt.
Mit DBSC können Sie überprüfen, ob ein Nutzer während seiner Sitzung dasselbe Gerät verwendet. Dazu fordern Sie einen Nachweis an, dass der Browser weiterhin den privaten Schlüssel besitzt. Dadurch wird es für Angreifer deutlich schwieriger, gestohlene Cookies zu verwenden, da sie in der Regel keinen Zugriff auf den privaten Schlüssel auf dem Gerät des Nutzers haben.
Funktionsweise von DBSC
DBSC ist für eine einfache Integration konzipiert. Wenn sich ein Nutzer anmeldet, können Sie DBSC initiieren, indem Sie den HTTP-Antwortheader Secure-Session-Registration bereitstellen.
Dieser Header weist den Browser an, einen Registrierungs-Endpunkt auf Ihrer Website mit dem öffentlichen Schlüssel für die Sitzung aufzurufen. Ihr Registrierungs-Endpunkt sollte diesen öffentlichen Schlüssel dann speichern und mit der Sitzungskonfiguration antworten, um die gebundene Sitzung einzurichten.
Sobald die Sitzung gebunden ist, kontaktiert Chrome einen von Ihnen bereitgestellten Aktualisierungs-Endpunkt, wenn ein gebundenes Cookie abläuft. An diesem Endpunkt können Sie den Browser auffordern, nachzuweisen, dass er noch den privaten Schlüssel für die Sitzung besitzt. Wenn die Challenge erfolgreich ist, können Sie ein neues Cookie ausstellen, um andere Anfragen zu authentifizieren. Wenn die Authentifizierung fehlschlägt, z. B. weil ein Angreifer versucht, ein gestohlenes Cookie auf einem anderen Gerät ohne Zugriff auf das TPM zu verwenden, können Sie die Anfrage ablehnen.
Für dieses Protokoll sind keine Änderungen an Ihren Authentifizierungsabläufen außerhalb dieser beiden Endpunkte erforderlich.
Weitere Informationen zur Implementierung von DBSC finden Sie im Entwicklerleitfaden zu Anmeldedaten für gerätegebundene Sitzungen.