Google включила в стабильную версию Chrome 146 для Windows технологию Device Bound Session Credentials (DBSC). Это механизм криптографически закрепляет активный сеанс пользователя за конкретным устройством и если вредоносное ПО попытается украсть файлы cookie сессии, они не сработают на другой машине.
Защита работает через чип безопасности TPM (Trusted Platform Module) в Windows, браузер генерирует пару ключей прямо внутри этого модуля, причем приватный ключ физически нельзя экспортировать за пределы устройства. Когда сервер выдает браузеру короткоживущие сессионные cookie, Chrome обязан доказывать владение тем самым ключом при каждом обновлении этих cookie и без ключа украденные данные превращаются в бесполезный мусор уже через несколько минут.
Принцип работы защиты
Google утверждает, что как только сложное вредоносное ПО получило доступ к системе, чисто программными методами остановить кражу cookie почти невозможно. Злоумышленники используют такие инфостилеры, как LummaC2, которые становятся все хитрее. Они читают локальные файлы и память процессов браузера, где и хранятся аутентификационные данные. DBSC решает эту проблему не программно, а на уровне «железа» и даже если ПО украдет сессионную cookie, он не сможет ее применить.
Разработчикам не придется переписывать свои приложения с нуля и чтобы включить поддержку аппаратно-привязанных сессий, достаточно добавить на бэкенде две точки: одну для регистрации сессии при входе пользователя, другую для обновления короткоживущих cookie. Старый фронтенд при этом продолжает работать без изменений. Ранее Google запустил в Chrome «офисного помощника» на основе ИИ.
Безопасность Chrome растет, но как быстро научатся обходить новую защиту?
Для обычного пользователя все происходит незаметно: не нужно ничего настраивать, устанавливать или оплачивать. Достаточно обновить Chrome до 146-й версии на Windows, и браузер сам начнет использовать аппаратную привязку сессий на тех сайтах, которые поддержат этот механизм. Пока таких сайтов немного, но Google рассчитывает, что стандарт станет популярным, особенно среди финансовых сервисов, почтовых систем и корпоративных порталов.
Как думаете, станет ли аппаратная привязка сессий стандартом де-факто для всех браузеров, или хакеры быстро найдут способ обходить и такую защиту? Делитесь мнением в комментариях.
PC НовостиЖелезо и технологииОС и программыGoogle
Источник: vgtimes.ru