Компания Google внедрила защиту Device Bound Session Credentials (DBSC) в Chrome 146 для Windows, призванную блокировать вредоносное ПО для кражи информации от сбора сеансовых файлов cookie.
Пользователи macOS получат преимущества этой функции безопасности в будущем выпуске Chrome, который пока не анонсирован.
О новой защите было объявлено в 2024 году, и она работает путем криптографической привязки сеанса пользователя к его конкретному оборудованию, такому как чип безопасности компьютера — Trusted Platform Module (TPM) в Windows и Secure Enclave в macOS.
Поскольку уникальные публичные/приватные ключи для шифрования и дешифрования конфиденциальных данных генерируются чипом безопасности, они не могут быть экспортированы из машины.
Это не позволяет злоумышленнику использовать украденные сеансовые данные, поскольку уникальный приватный ключ, защищающий их, не может быть экспортирован из машины.
«Выпуск новых краткосрочных сеансовых файлов cookie зависит от того, что Chrome докажет серверу владение соответствующим приватным ключом», — говорится в сегодняшнем объявлении Google.
Без этого ключа любой эксфильтрованный сеансовый файл cookie почти немедленно истекает и становится бесполезным для злоумышленника.
Сеансовый файл cookie действует как токен аутентификации, обычно с более длительным сроком действия, и создается на стороне сервера на основе вашего имени пользователя и пароля.
Сервер использует сеансовый файл cookie для идентификации и отправляет его в браузер, который предъявляет его при доступе к онлайн-сервису.
Поскольку они позволяют проходить аутентификацию на сервере без предоставления учетных данных, злоумышленники используют специализированное вредоносное ПО, называемое infostealer, для сбора сеансовых файлов cookie.
Google заявляет, что многочисленные семейства вредоносного ПО infostealer, такие как LummaC2, «становятся все более изощренными в сборе этих учетных данных», что позволяет хакерам получать доступ к учетным записям пользователей.
«Критически важно то, что как только изощренное вредоносное ПО получает доступ к машине, оно может считывать локальные файлы и память, где браузеры хранят файлы cookie аутентификации. В результате не существует надежного способа предотвратить эксфильтрацию файлов cookie, используя только программное обеспечение в любой операционной системе» — Google
Протокол DBSC был разработан с учетом конфиденциальности, при этом каждый сеанс поддерживается отдельным ключом. Это не позволяет веб-сайтам сопоставлять активность пользователей между несколькими сеансами или сайтами на одном и том же устройстве.
Кроме того, протокол обеспечивает минимальный обмен информацией, требующий только публичного ключа для конкретного сеанса, необходимого для подтверждения владения, и не раскрывает идентификаторы устройств.
В ходе годичного тестирования ранней версии DBSC в партнерстве с несколькими веб-платформами, включая Okta, Google отметила заметное снижение числа случаев кражи сеансов.
Google сотрудничала с Microsoft в разработке протокола DBSC в качестве открытого веб-стандарта и получила отзывы «от многих в отрасли, ответственных за веб-безопасность».
Веб-сайты могут перейти на более безопасные сеансы, привязанные к оборудованию, добавив выделенные конечные точки регистрации и обновления в свои серверные системы без ущерба для совместимости с существующим клиентским интерфейсом.
Веб-разработчики могут обратиться к руководству Google по подробностям реализации DBSC. Спецификации доступны на веб-сайте World Wide Web Consortium (W3C), а пояснительный материал можно найти на GitHub.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ionut Ilascu
