Google Rilis DBSC di Chrome 146: Akhirnya Session Cookie Tidak Bisa Dicuri Perangkat Lunak Berbahaya
📌 Outline 5W+1H – DBSC Chrome 146
Device Bound Session Credentials adalah mekanisme keamanan yang mengikat sesi login pengguna ke perangkat keras tertentu. DBSC menggunakan pasangan kunci kriptografi yang dihasilkan oleh TPM (Windows) atau Secure Enclave (macOS). Kunci privat tidak bisa diekspor. Server hanya memberikan cookie sesi singkat jika browser bisa membuktikan kepemilikan kunci tersebut. Jika cookie dicuri, tidak bisa dipakai di perangkat lain.
Google merilis DBSC untuk semua pengguna Chrome 146 di Windows. Pengguna macOS menyusul dalam rilis berikutnya. Pengguna Linux? Untuk sementara belum, tapi Google berencana memperluas. Yang paling diuntungkan adalah korban potensial perangkat lunak berbahaya stealer (Lumma, Vidar, Atomic dll). Penyerang dan penjual cookie di dark web jadi gigit jari.
Mulai Chrome 146 yang dirilis secara stabil pada Oktober 2025 (atau awal 2026 tergantung jadwal). Fitur ini sebelumnya sudah diuji dalam beta selama beberapa bulan. Sekarang sudah general availability untuk Windows. Google mengumumkan secara resmi di blog keamanan Chrome pada pekan ini.
Di perangkat Windows yang memiliki TPM (Trusted Platform Module) versi 2.0 ke atas. Sebagian besar laptop dan PC Windows modern sudah punya TPM. Jika perangkat tidak mendukung, DBSC akan fallback ke perilaku standar tanpa mematahkan alur login. Jadi tetap aman dan tidak membuat error.
Karena session theft (pencurian cookie) adalah ancaman nomor satu setelah password. Perangkat Lunak Berbahaya stealer seperti Lumma dan Vidar dengan mudah mengambil cookie dari browser, lalu penjahat menggunakannya untuk membajak akun tanpa perlu tahu password. Dengan DBSC, cookie yang dicuri tidak berguna karena server akan meminta bukti kepemilikan kunci privat yang hanya ada di perangkat asli. Ini mengakhiri kejahatan cookie massal.
Saat login, Chrome meminta TPM membuat sepasang kunci (public/private). Kunci publik dikirim ke server (Google, atau situs yang mendukung standar). Server kemudian mengeluarkan session cookie jangka pendek. Setiap request yang membawa cookie juga perlu disertai tanda tangan digital dari kunci privat. Karena kunci privat tidak bisa diekspor dari TPM, perangkat lunak berbahaya tidak bisa meniru tanda tangan. Cookie kedaluwarsa dalam hitungan menit/jam, sehingga pencuri tidak punya waktu untuk menyalahgunakannya.
Inti: DBSC adalah pengubah permainan. Tidak ada lagi jual-beli session cookie di forum gelap. Hardware security menjadi benteng terakhir yang mematikan.
Ancaman Pencurian Session Cookie Selama Ini Sangat Nyata
Teman-teman, pasti pernah dengar soal perangkat lunak berbahaya stealer kayak Lumma, Vidar, atau Atomic. Mereka menyusup lewat file bajakan, tidak resmi, atau email phishing. Begitu masuk, mereka menggasak semua cookie session yang tersimpan di browser. Karena cookie biasanya punya masa hidup lama (biar kita tidak login ulang terus), penjahat bisa langsung pakai cookie itu untuk mengakses akun korban — Gmail, Facebook, media sosial, bahkan akun perbankan. Tanpa perlu tahu password, tanpa 2FA (karena session sudah terverifikasi). Ini mimpi buruk yang sudah bertahun-tahun merajalela.
DBSC: Cookie Dikunci ke TPM, Maling Pusing
Google akhirnya menjawab tantangan ini dengan Device Bound Session Credentials (DBSC). Cara kerjanya sederhana secara konsep, tapi brilliant secara teknis: setiap sesi login diikat ke hardware perangkat. Di Windows, ia menggunakan TPM (Trusted Platform Module) — sebuah chip khusus yang menyimpan kunci kriptografi secara aman. Chrome meminta TPM membuat sepasang kunci: privat dan publik. Kunci publik dikirim ke server, sedangkan kunci privat tidak pernah bisa keluar dari TPM, bahkan browser pun tidak bisa mengekspornya.
Setelah itu, setiap kali browser mengirim session cookie ke server, ia juga menyertakan tanda tangan digital yang dibuat dengan kunci privat. Server memverifikasi tanda tangan tersebut menggunakan kunci publik. Jika cocok, request dianggap sah. Jika tidak (misalnya cookie dicuri dan dipakai dari laptop lain), maka server akan menolak dan langsung menganggap sesi tidak valid. Cookie yang dicuri hangus dalam sekejap.
Kenapa Baru Windows Dulu? TPM Sudah Umum
Google memprioritaskan Windows karena hampir semua perangkat Windows modern (dari Windows 10 ke atas, dengan TPM 2.0) sudah mendukung secure key storage. Untuk macOS nanti akan menggunakan Secure Enclave. Untuk Linux? Masih belum diumumkan, tapi kemungkinan akan mendukung melalui mekanisme seperti TPM2.0 atau software fallback. Yang penting, fitur ini bersifat backward compatible: jika perangkat tidak punya TPM, DBSC akan mati sendiri dan browser tetap bekerja seperti biasa. Jadi pengguna dengan PC lama tidak akan dikorbankan.
Privasi Tetap Terjaga, Tidak Ada Pelacakan Lintas Situs
Salah satu kekhawatiran pengguna: apakah Google atau situs web bisa memanfaatkan DBSC untuk fingerprinting atau melacak aktivitas antar situs? Google menegaskan bahwa arsitektur DBSC privacy by design. Kunci publik yang dikirim ke server bersifat per-sesi, bukan perangkat permanen. Setiap kali Anda logout atau cookie kedaluwarsa, kunci baru dibuat. Server tidak pernah menerima identifier perangkat yang unik atau data attestation. Ini memastikan bahwa situs web tidak bisa menghubungkan sesi yang berbeda dari perangkat yang sama. Jadi aman dari tracking.
Hasil Awal: Penurunan Drastis Session Theft
Google mengaku telah mengamati pengurangan signifikan kasus pencurian session sejak uji coba DBSC dalam beta. Meskipun belum merilis angka pasti, tim keamanan Chrome optimistis bahwa fitur ini akan mengubah lanskap ancaman. Para penjual cookie di forum gelap seperti Genesis Market (yang sudah dibongkar) pasti akan kewalahan karena cookie yang mereka curi jadi sampah digital. Namun, Google juga sadar bahwa penjahat akan mencari celah lain — misalnya menyerang langsung TPM atau menggunakan perangkat lunak berbahaya yang berjalan di sesi yang sama (sebelum logout). Tapi setidaknya, ini adalah peningkatan pertahanan yang sangat besar.
Apa yang Harus Dilakukan Pengguna Chrome?
Untuk pengguna Chrome di Windows, pastikan versi browser Anda minimal 146. Cek di chrome://settings/help. Jika sudah, fitur DBSC akan aktif secara otomatis untuk situs-situs yang mendukung standar tersebut. Saat ini, Google sudah menerapkannya untuk akun Google (Gmail, Drive, dll) dan bekerja sama dengan penyedia layanan besar lainnya. Ke depannya, situs web dapat mengadopsi API DBSC untuk melindungi login pengguna mereka. Anda tidak perlu melakukan konfigurasi tambahan — cukup nikmati keamanan ekstra.
Buat para pengguna macOS dan Linux, bersabarlah. Google akan segera merilis untuk macOS dalam rilis Chrome berikutnya. Untuk pengguna Linux yang menggunakan TPM (misalnya melalui utilitas tpm2-tools), mungkin akan menyusul. Yang jelas, masa depan session cookie yang tidak terkunci sudah berakhir. Selamat tinggal perangkat lunak berbahaya stealer, selamat datang era device-bound credentials.
Dengan DBSC, kami membuat cookie yang dicuri menjadi sampah digital. Penyerang tidak bisa memakainya meskipun berhasil mengambilnya dari komputer korban. — Tim Keamanan Chrome Google.