A Google bejelentette, hogy új védelmi funkciót vezet be a Chrome böngészőbe, amivel jelentősen megnehezíti, hogy az ellopott munkamenet sütikkel (session cookie) feltörhessék a felhasználói fiókokat.
A támadók különféle rosszindulatú programmal hozzáférhetnek a felhasználók eszközein tárolt munkamenet sütikhez, amelyek segítségével képesek megkerülni a hagyományos védelmi mechanizmusokat és hozzáférni a felhasználói fiókokhoz. A Device Bound Session Credentials (DBSC) elnevezésű funkciót még 2024 áprilisában jelentette be a Google, majd a Chrome 146-os verziójában vált elérhetővé Windows rendszeren, macOS rendszeren azonban csak később fog megérkezni a támogatás.
A DBSC olyan titkosítással védi a munkamenet sütiket, amely hardveres biztonsági modult használ a nyilvános és privát kulcsok generálásához, majd ezek segítségével a szerver kriptográfiai kihívások során ellenőrzi, hogy a kliens rendelkezik-e a szükséges privát kulccsal. Mivel a támadók nem képesek megszerezni a felhasználók eszközéhez kötött kulcsokat, a kiszivárgott cookie-k más eszközön nem használhatók fel, ami jelentősen csökkenti a visszaélés lehetőségét.
A Google a Microsoft támogatásával, nyílt szabványként építette fel a DBSC-t a W3C folyamaton keresztül, amelyek tesztelését az Okta és más webes platformok végezték. A megvalósítással kapcsolatos részletek a webfejlesztőknek szóló útmutatóban érhetők el.