Przestępcy chcą ukraść twoje ciasteczka. Google wprowadza nowe zabezpieczenie
Google chce utrudnić kradzież plików cookie, czyli ciasteczek. Tylko po co ktoś je kradnie?
Ciasteczka to pliki generowane przez odwiedzane strony internetowe. Ze względu na swoją użyteczność - a co za tym idzie, wartość - mogą stać się łakomym kąskiem dla przestępców.
Po co przestępcom ciasteczka? Kradzież pozwala atakującym ominąć zabezpieczenia i uzyskać dostęp do kont użytkowników.
Aby rozwiązać ten problem, Google opracował Device Bound Session Credentials (DBSC) – nową technologię, której celem jest uniemożliwienie kradzieży plików cookies. Dzięki temu rozwiązaniu, nawet jeśli ciasteczka dostaną się w niepowołane ręce, nie będzie można ich użyć na innym urządzeniu. To znacznie utrudni atakującym kradzież kont. A jak dokładnie to działa?
Kiedy użytkownik loguje się do witryny obsługującej DBSC, przeglądarka generuje na urządzeniu unikalną parę kluczy. Klucz publiczny jest następnie udostępniany stronie internetowej. Witryna może przez całą sesję weryfikować, czy użytkownik posiada odpowiedni klucz prywatny, aby potwierdzić jego autentyczność
- tłumaczy Google.
Prościej mówiąc, DBSC chroni konta użytkowników przed kradzieżą plików cookie, wiążąc sesje uwierzytelniania z przeglądarką konkretnego urządzenia.
Na Spider’s Web przeczytasz więcej o bezpieczeństwie w sieci:
Czy DBSC jest bezpieczne?
Z informacji na blogu Chromium dowiadujemy się, że DBSC zostało zaprojektowane z myślą o prywatności użytkownika. Witryny internetowe nie mogą śledzić użytkowników w różnych sesjach, a użytkownicy mogą w dowolnym momencie usunąć klucze. Dodatkowo DBSC nie ujawnia żadnych informacji o urządzeniu poza jego możliwością bezpiecznego przechowywania kluczy.
Google obecnie testuje pilotażowo funkcję z niewielką grupą użytkowników Kont Google i spodziewa się, że w przyszłości wdroży ją szerzej. Firma współpracuje również z innymi firmami, takimi jak Microsoft czy Okta, aby DBSC stał się powszechnie stosowanym standardem.
Google zakłada, że testy w przeglądarce Chrome rozpoczną się pod koniec 2024 roku. Podstawowe funkcje można oczekiwać w wersji 125 Chrome, a funkcje odświeżania i działania w tle zostaną dodane do wersji 130. Narzędzia do testów oraz próby z udziałem rzeczywistych użytkowników są planowane w wersji Chrome 131.