Google reaguje na problem z kradzionymi ciasteczkami. Firma przygotowała już rozwiązanie, które powinno wyeliminować zagrożenie.
Kilka tygodni temu pisaliśmy o bardzo niebezpiecznym ataku, dzięki któremu cyberprzestępcy mogli z łatwością dostać się na nasze konta. Wystarczyło, że wykradną z naszego komputera ciasteczka. Mogły być nawet przeterminowane. Na szczęście Google szybko zareagował i ma już gotowe rozwiązanie.
To nowe rozwiązanie to Device Bound Session Credentials (DBSC). Polega ono na kryptograficznym powiązaniu uwierzytelniających plików cookie z naszymi urządzeniami. Włączenie tej funkcji sprawi, że proces uwierzytelniania będzie powiązany z konkretną parą kluczy, wygenerowaną przy użyciu TPM (Truste Platform Module).
Mają one być bezpiecznie przechowywane na urządzeniu i nie da się ich eksfiltrować, więc nawet w przypadku kradzieży ciasteczek będą dla atakującego bezużyteczne.
Wiążąc sesje uwierzytelniania z urządzeniem, DBSC ma na celu zakłócenie kradzieży plików cookie, ponieważ eksfiltracja tych plików cookie nie będzie już miała żadnej wartości. Uważamy, że znacznie zmniejszy to wskaźnik skuteczności złośliwego oprogramowania do kradzieży plików cookie. Atakujący będą zmuszeni do działania lokalnie na urządzeniu, co sprawi, że wykrywanie i usuwanie zagrożenia będzie bardziej skuteczne, zarówno w przypadku oprogramowania antywirusowego, jak i urządzeń zarządzanych przez przedsiębiorstwa
- powiedziała Kristian Monsen z zespołu Google Chrome Counter Abuse.
Każda sesja będzie zabezpieczona unikalnym kluczem w celu ochrony prywatności. Serwer otrzyma jedynie klucz publiczny używany do późniejszej weryfikacji. Co ważne, DBSC nie umożliwia witrynom śledzenia użytkownika w różnych sesjach na tym samym urządzeniu, a utworzone klucze można usunąć w dowolnym momencie.
Nowa funkcja jest jeszcze w fazie eksperymentalnej, ale już teraz możecie ją włączyć. W tym celu udajcie się do chrome://flags/ i aktywujcie "enable-bound-session-credentials".
Zobacz: Google wie, co robisz w trybie incognito. Zgodziło się usunąć dane
Źródło zdjęć: gioele piccinini / Shutterstock.com
Źródło tekstu: BleepingComputer