Google анонсировала функцию безопасности Chrome под названием «Учётные данные сеанса, привязанного к устройству» (Device Bound Session Credentials, DBSC), которая связывает файлы cookie с конкретным устройством пользователя и не позволяет хакерам красть и использовать их для взлома учётных записей.
Такая мера принята, поскольку файлы cookie позволяют обходить многофакторную аутентификацию при входах в системы.
Новая функция не позволяет злоумышленникам работает путём криптографической привязки cookie аутентификации к устройству. Процесс аутентификации связан с конкретной новой парой открытых/закрытых ключей, созданной с использованием чипа доверенного платформенного модуля (TPM) устройства.
Инженер-программист из команды Google по борьбе со злоупотреблениями в ChromeКристиан Монсен отметил, что теперь злоумышленникам придётся действовать локально на устройстве.
Протестировать функцию можно, перейдя на chrome://flags/ и включив специальный флаг «enable-bound-session-credentials».
Каждый сеанс поддерживается уникальным ключом, при этом сервер получает только открытый ключ, который позже будет использоваться для аутентификации. Функция не позволяет сайтам отслеживать пользователя в разных сеансах на одном устройстве, и созданные ключи можно удалить в любое время.
Компания работает над тем, чтобы включить эту технологию для клиентов Google Workspace и Google Cloud.
Ранее сообщалось, что вредоносные программы Lumma и Rhadamanthys, вероятно, могут восстановить старые файлы cookie аутентификации Google, украденные в результате атак. Тогда компания посоветовала включить расширенный безопасный просмотр в Chrome для защиты от фишинга и атак вредоносных программ.
Между тем конфиденциальный браузер DuckDuckGo развернул функцию Sync & Backup, которая позволяет сохранять пароли, закладки и избранное на всех устройствах пользователей без необходимости создавать учётную запись. Компания обещает не отслеживать и не собирать пользовательские данные, которые будут защищены сквозным шифрованием.
