- Регистрация
- 17 Окт 2015
- Сообщения
- 11.603
- Репутация
- 4.226
- Реакции
- 15.341
Cookie больше не воруют: новая функция Google Chrome разрушила бизнес хакеров
3 апреля, 2024DBSC делает куки бесполезными для взлома.
В новом обновлении Google Chrome – браузер, который разрабатывается на основе свободного проекта Chromium. Для отображения web-страниц браузер использует движок WebKit.
Первая публичная бета-версия Google Chrome была представлена 2 сентября 2008 года, а первая стабильная версия – 11 декабря 2011 года. Изначально Chrome выпускался только под Microsoft Windows. Позже браузер был выпущен для Linux, macOS и мобильных платформ.
Браузер Chrome нацелен на повышения уровня безопасности пользователей за счет максимально высокой скорости работы, а также минимально допустимого функционала. Все дополнительные функции в браузер внедряются за счёт сторонних расширений.
Google Chrome добавлена новая функция безопасности, направленная на борьбу с кражей учетных данных пользователя. Технология Device Bound Session Credentials, ( DBSC ), обещает значительно усложнить задачу злоумышленников, стремящихся украсть Cookie (или «куки») – это небольшие текстовые файлы, которые сохраняются на компьютере пользователей при посещении веб-сайтов. Они используются для хранения различной информации: от простых настроек интерфейса сайта до данных для автоматического входа в аккаунт.
Cookie позволяют сайтам «запоминать» пользователей и их предпочтения, обеспечивая таким образом более персонализированный и удобный опыт просмотра. Однако они также могут быть использованы для отслеживания поведения пользователя в интернете, что вызывает некоторые опасения по поводу конфиденциальности и безопасности.
cookie-файлы для доступа к аккаунтам пользователя.
Cookies – это файлы, которые веб-сайты используют для запоминания информации о посещениях и предпочтениях пользователей, а также для автоматического входа в систему. Проблема заключается в том, что киберпреступники с помощью вредоносного ПО могут красть куки, тем самым обходя запросы на многофакторную аутентификацию (MFA) и захватывая учетные записи.
Device Bound Session Credentials («Учетные данные сеанса, привязанного к устройству») заключается в криптографической привязке куки аутентификации к конкретному устройству пользователя. Это достигается благодаря созданию уникальной пары открытого/закрытого ключа с использованием чипа Trusted Platform Module (TPM), который невозможно экспортировать и который безопасно хранится на устройстве пользователя. Таким образом, даже в случае кражи куки, злоумышленник не сможет использовать их для доступа к аккаунтам.
В Chrome отметили, что новая функция нарушит привычный ход действий хакеров, поскольку украденные cookie-файлы больше не будут иметь ценности. Атакующим придется действовать локально на устройстве, что упрощает обнаружение и удаление вредоносного ПО как для антивирусных программ, так и для управляемых корпоративных устройств.
В настоящее время функция находится на стадии прототипа, но уже доступна для тестирования на базе Chromium в операционных системах Windows, Linux и macOS. Для теста достаточно ввести в адресной строке «chrome://flags/» и включить специальный флаг «enable-bound-session-credentials».
DBSC работает так, что сервер может начать новую сессию с браузером и ассоциировать ее с публичным ключом, хранящимся на устройстве пользователя. Каждая сессия защищена уникальным ключом, сохраняя конфиденциальность пользователя, а сервер получает только публичный ключ для последующей проверки. Технология не позволяет сайтам отслеживать пользователя между различными сессиями на одном и том же устройстве, а созданные ключи можно удалить в любой момент.
Ожидается, что новая функция безопасности будет поддерживаться примерно на половине всех настольных устройств Chrome и будет полностью согласована с поэтапным отказом от использования сторонних куки в Chrome. В Chrome заявили, что после полного внедрения потребители и корпоративные пользователи автоматически получат улучшенную безопасность своих аккаунтов Google.