Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

Googles gerätegebundene Sitzungsanmeldeinformationen: Das Ende des Session Hijackings?

2025-08-28

Session Hijacking ist seit langem eine große Bedrohung für die Online-Sicherheit. Die traditionelle Cookie-basierte Sitzungsverwaltung ist anfällig und lässt Systeme Angriffen ausgesetzt. Um dem entgegenzuwirken, hat Google gerätegebundene Sitzungsanmeldeinformationen (DBSC) eingeführt, die auf Public-Key-Kryptographie basieren. DBSC erzeugt für jede Sitzung ein Schlüsselpaar, das sicher auf dem Gerät gespeichert wird (z. B. mithilfe von TPM unter Windows). Dies macht Sitzungskennungen auf anderen Geräten nutzlos und verhindert effektiv Session Hijacking. Derzeit befindet sich DBSC in der Betaphase für Google Workspace Chrome-Benutzer (Windows). Eine breite Adoption durch andere Browser-Anbieter könnte Session Hijacking endgültig der Vergangenheit angehören.

Mehr lesen
(www.feistyduck.com)
Technologie Session Hijacking Public-Key-Kryptographie

Das langsame Sterben von OCSP: Let's Encrypt stellt die Unterstützung ein

2025-01-30

Let's Encrypts Entscheidung, die Unterstützung für OCSP einzustellen, markiert das Ende einer Ära für diese 25 Jahre alte Technologie zur Überprüfung der Zertifikatswiderrufung. Geplagt von schlechter Browser-Implementierung und hohen Kosten, konnte OCSP keine signifikanten Sicherheitsverbesserungen liefern. Die Zukunft beinhaltet kurzlebigere Zertifikate (z. B. 6 Tage Gültigkeit) und einen überarbeiteten CRL-Ansatz, der von Browser-Anbietern verwaltet wird. Auch wenn OCSP in Nischenanwendungen weiterhin bestehen bleiben könnte, ist seine breite Anwendung vorbei.

Mehr lesen
(www.feistyduck.com)
Technologie Zertifikatswiderruf