Penka Hristovska
Aktualisiert am: 10. April 2024
Google hat eine neue Prototypfunktion für den Chrome-Browser entwickelt, die darauf abzielt, Hacking-Versuche zu bekämpfen, bei denen Malware zum Stehlen von Browser-Cookies und zum Kapern von Online-Konten eingesetzt wird.
Die neue Technologie mit dem Namen „Device Bound Session Credentials“ nutzt Verschlüsselung, um Hacker daran zu hindern, Anmeldesitzungen durch Cookie-Diebstahl zu kapern.
Internet-Cookies sind kleine Textdateien, die von Ihrem Webbrowser auf Ihrem Computer gespeichert werden. Sie helfen Websites dabei, sich Ihre Präferenzen zu merken, z. B. Anmeldedaten, sodass Sie diese nicht bei jedem Besuch erneut eingeben müssen. Diese Cookies stellen jedoch eine Sicherheitslücke dar, wenn ein Hacker Ihren Computer mit Malware infiziert, da er diese Cookies leicht stehlen kann, um auf Ihre Online-Konten zuzugreifen, ohne Ihr Passwort zu benötigen.
„Ein solcher Cookie-Diebstahl geschieht nach der Anmeldung und umgeht daher die Zwei-Faktor-Authentifizierung und alle anderen Reputationsprüfungen während der Anmeldung“, erklärt Google-Softwareentwickler Kristian Monsen in einem Blogbeitrag. „Außerdem ist es schwierig, mit Antivirensoftware Abhilfe zu schaffen, da die gestohlenen Cookies auch dann noch funktionieren, wenn die Malware erkannt und entfernt wird.“
Um dieses Problem zu lösen, arbeitet Google an einer Möglichkeit, Authentifizierungscookies an den PC des Benutzers zu „binden“. Dabei handelt es sich um eine Strategie, die die Integration von Public-Key-Kryptografie in die Cookies beinhaltet. Das bedeutet, dass ein Browser jedes Mal, wenn er eine neue Anmeldesitzung startet, direkt auf dem PC des Benutzers einen Verschlüsselungsschlüssel generiert. Dieser Schlüssel wird verwendet, um direkt beim Server der Website zu bestätigen, dass die Anmeldung legitim ist, und fügt so eine zusätzliche Sicherheitsebene hinzu, um unbefugten Zugriff zu verhindern.
Um sicherzustellen, dass die Verschlüsselungsschlüssel sicher sind, plant Google, sie im Trusted Platform Module (TPM)-Chip eines Windows-PCs zu speichern. Dieser Chip wurde speziell zum Schutz kryptografischer Schlüssel und zur Überprüfung der Integrität des Betriebssystems entwickelt – und ist jetzt eine Voraussetzung für die Ausführung von Windows 11.
Eine Website kann dann die Authentizität eines Authentifizierungscookies bestätigen, indem sie eine API verwendet, die die Legitimität des mit einer Anmeldesitzung verknüpften Verschlüsselungsschlüssels überprüft und so sicherstellt, dass die Sitzung sicher und autorisiert ist.
„Dadurch wird sichergestellt, dass die Sitzung immer noch auf demselben Gerät stattfindet, und sie wird in regelmäßigen, vom Server festgelegten Abständen durchgesetzt“, sagte Monsen. „Wir glauben, dass dies die Erfolgsquote von Cookie-Diebstahl-Malware erheblich verringern wird. Angreifer wären gezwungen, lokal auf dem Gerät zu agieren, was die Erkennung und Bereinigung auf dem Gerät effektiver macht, sowohl für Antivirensoftware als auch für von Unternehmen verwaltete Geräte.“
Google möchte dieses Projekt zu einem „offenen Webstandard“ machen, der die Sicherheit für alle Nutzer im gesamten Web erhöht, und plant, bis Ende 2024 einen voll funktionsfähigen Test dieser Technologie bereitzustellen.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.safetydetectives.com/news/google-introduces-new-chrome-feature-to-combat-cookie-hijacking/
