Google Luncurkan DBSC di Chrome 146 untuk Cegah Pencurian Sesi di Windows

Google resmi meluncurkan Device Bound Session Credentials (DBSC) untuk semua pengguna Windows di browser Chrome versi 146, menyusul masa uji coba beta terbuka beberapa bulan lalu. Fitur keamanan ini dirancang untuk mengatasi permasalahan pencurian sesi yang marak terjadi di dunia maya.

Penggunaan DBSC saat ini terbatas pada sistem operasi Windows, namun Google telah mengumumkan rencana perluasan ke macOS pada versi Chrome mendatang. Langkah ini menjadi terobosan penting dalam upaya Google melawan pencurian sesi, yang masih menjadi ancaman serius dalam lanskap keamanan digital modern, menurut pernyataan tim Keamanan Chrome dan Akun Google pada Kamis (10/4/2026).

Apa Itu Pencurian Sesi dan Bahayanya?

Pencurian sesi adalah proses di mana pelaku jahat mencuri cookie sesi dari browser web pengguna secara diam-diam. Cookie ini berfungsi sebagai tanda pengenal sesi login yang memungkinkan akses ke akun online tanpa perlu memasukkan kata sandi lagi.

Biasanya, cookie ini dicuri melalui malware pencuri informasi yang menginfeksi perangkat korban. Contoh malware yang umum digunakan antara lain Atomic, Lumma, dan Vidar Stealer, yang mampu mencuri berbagai data termasuk cookie sesi.

• Cookie sesi yang dicuri sering memiliki masa aktif panjang, sehingga penyerang bisa mengakses akun korban tanpa izin.
• Token ini kemudian dijual ke pelaku kejahatan siber lain untuk keuntungan finansial.
• Serangan lanjutan dapat dilakukan dengan menggunakan akses yang diperoleh dari cookie tersebut.

Bagaimana DBSC Bekerja Mengamankan Sesi?

DBSC pertama kali diumumkan oleh Google pada April 2024 dengan tujuan mengikat sesi autentikasi secara kriptografis ke perangkat tertentu. Dengan demikian, walau cookie berhasil dicuri, mereka tidak dapat digunakan di perangkat lain.

Google menjelaskan bahwa DBSC menggunakan modul keamanan berbasis perangkat keras seperti Trusted Platform Module (TPM) di Windows dan Secure Enclave di macOS untuk membuat pasangan kunci publik/pribadi unik yang tidak dapat diekspor dari perangkat.

"Penerbitan cookie sesi baru yang berumur pendek bergantung pada kemampuan Chrome membuktikan kepemilikan kunci privat yang sesuai kepada server. Karena penyerang tidak dapat mencuri kunci ini, cookie yang dicuri akan segera kedaluwarsa dan tidak berguna bagi mereka," jelas Google.

Jika perangkat pengguna tidak mendukung penyimpanan kunci yang aman, DBSC akan kembali ke perilaku standar tanpa mengganggu proses autentikasi, memastikan pengalaman pengguna tetap lancar.

Dampak dan Rencana Pengembangan DBSC

Sejak diperkenalkan, Google melaporkan penurunan signifikan dalam kasus pencurian sesi, menandakan efektivitas fitur ini. Namun, peluncuran resmi ini baru awal dari perjalanan DBSC.

Google berencana memperluas dukungan DBSC ke lebih banyak perangkat dan menghadirkan fitur lanjutan untuk mendukung integrasi di lingkungan perusahaan. Kolaborasi dengan Microsoft juga dilakukan agar DBSC menjadi standar terbuka di web.

Penting untuk dicatat, DBSC didesain dengan privasi sebagai prioritas utama. Sistem ini menggunakan pendekatan kunci unik untuk menghindari pelacakan aktivitas pengguna di situs berbeda atau sesi yang berbeda pada perangkat yang sama.

"Protokol ini juga dirancang agar tidak membocorkan pengenal perangkat atau data atestasi ke server selain kunci publik per sesi yang diperlukan untuk membuktikan kepemilikan," tambah Google. "Informasi minimal ini memastikan DBSC mengamankan sesi tanpa memfasilitasi pelacakan lintas situs atau menjadi mekanisme sidik jari perangkat."

Analisis Redaksi

Menurut pandangan redaksi, peluncuran DBSC menandai langkah maju yang sangat penting dalam menghadapi ancaman pencurian sesi yang selama ini sulit diberantas secara tuntas. Dengan mengikat sesi autentikasi ke perangkat tertentu, Google mempersulit pelaku kejahatan siber untuk memanfaatkan cookie curian, mengurangi risiko akses ilegal ke akun pengguna.

Meski demikian, kesuksesan DBSC juga akan bergantung pada tingkat adopsi dan dukungan perangkat keras yang memadai, terutama TPM di Windows. Pengguna dengan perangkat lama atau yang belum mendukung modul keamanan ini mungkin belum sepenuhnya terlindungi.

Ke depannya, pengembangan DBSC yang terintegrasi dengan lingkungan perusahaan juga menjadi hal yang patut diperhatikan. Mengingat perusahaan adalah target utama serangan siber, fitur ini bisa menjadi alat penting dalam memperkuat pertahanan keamanan siber korporasi.

Terakhir, transparansi Google dalam menjaga privasi pengguna melalui desain DBSC yang tidak memungkinkan pelacakan lintas situs memberikan nilai tambah tersendiri di tengah kekhawatiran global terhadap privasi digital. Sumber asli artikel ini menyajikan wawasan mendalam yang patut diikuti perkembangan selanjutnya.

Jangan lewatkan update keamanan terbaru lainnya dengan mengikuti kami di Google News, Twitter, dan LinkedIn.