Στον ψηφιακό κόσμο της ασφάλειας, η Google συνεχώς αναζητά τρόπους να ενισχύσει την προστασία των χρηστών της. Με την πρόσφατη κυκλοφορία της δυνατότητας προστασίας Device Bound Session Credentials (DBSC) για τον Chrome 146 στα Windows, η εταιρεία επιδιώκει να αντιμετωπίσει τη σοβαρή απειλή της κλοπής cookies. Αυτή η δυνατότητα έχει σχεδιαστεί ειδικά για να αποτρέπει την εκμετάλλευση cookies περιόδου λειτουργίας από κακόβουλο λογισμικό, προσφέροντας μια πιο ασφαλή εμπειρία περιήγησης στους χρήστες. Οι κάτοχοι macOS θα έχουν την ευκαιρία να την αποκτήσουν σε μελλοντική έκδοση του Chrome, αν και δεν έχει ανακοινωθεί συγκεκριμένη ημερομηνία. Το DBSC λειτουργεί με την κρυπτογραφική σύνδεση της συνεδρίας του χρήστη με το υλικό του υπολογιστή. Αυτή η διαδικασία χρησιμοποιεί το Trusted Platform Module (TPM) στα Windows και το Secure Enclave στα Mac, διασφαλίζοντας ότι μόνο το ίδιο το μηχάνημα μπορεί να αποκρυπτογραφήσει τη συνεδρία. Διαβάστε περισσότερα για τις απειλές ασφαλείας και την καταπολέμησή τους στην [αρθρογραφία της Google](https://security.googleblog.com).
Η προστασία αυτή επιτυγχάνεται μέσω της δημιουργίας μοναδικών δημόσιων και ιδιωτικών κλειδιών για την κρυπτογράφηση και την αποκρυπτογράφηση των ευαίσθητων δεδομένων. Αυτά τα κλειδιά δεν μπορούν να εξαχθούν από το μηχάνημα, γεγονός που καθιστά δύσκολη την πρόσβαση στους κλεμμένους λογαριασμούς των χρηστών. Σύμφωνα με την Google, η έκδοση νέων βραχυχρόνιων cookies συνεδρίας είναι άρρηκτα συνδεδεμένη με την αποστολή αποδεικτικών στοιχείων για την κατοχή του κλειδιού που επιβεβαιώνει τη γνήσια συνεδρία. Σε περιπτώσεις κλοπής, κάθε cookie που έχει διεισδύσει καθίσταται άχρηστο για τον επιτιθέμενο.
πηγή: Google
Τα cookies περιόδου λειτουργίας λειτουργούν ως διακριτικά ελέγχου ταυτότητας, με σχήμα που επιτρέπει την αναγνώριση του χρήστη από τον διακομιστή. Αυτά δημιουργούνται με βάση τα στοιχεία εισόδου του χρήστη και αποστέλλονται στο πρόγραμμα περιήγησης, το οποίο τα χρησιμοποιεί για πρόσβαση στις ηλεκτρονικές υπηρεσίες. Δυστυχώς, οι επιτιθέμενοι χρησιμοποιούν εξειδικευμένο κακόβουλο λογισμικό, όπως τα infostealer, για να συλλέγουν αυτά τα cookies, επιτρέποντας την πρόσβαση στους λογαριασμούς των χρηστών. Είναι ανησυχητικό ότι οικογένειες κακόβουλων λογισμικών, όπως το LummaC2, έχουν γίνει πιο εξελιγμένες στη συλλογή cookies, καθιστώντας τη θέση των χρηστών πιο ευάλωτη από ποτέ.
“Κυρίως, από τη στιγμή που το εξελιγμένο κακόβουλο λογισμικό αποκτήσει πρόσβαση σε ένα μηχάνημα, μπορεί να διαβάσει τα τοπικά αρχεία και τη μνήμη όπου τα προγράμματα περιήγησης αποθηκεύουν cookies ελέγχου ταυτότητας. Ως αποτέλεσμα, δεν υπάρχει αξιόπιστος τρόπος να αποτραπεί η διείσδυση cookie χρησιμοποιώντας μόνο λογισμικό σε οποιοδήποτε λειτουργικό σύστημα” – Google
Το πρωτόκολλο DBSC είναι σχεδιασμένο για να εξασφαλίζει την ιδιωτικότητα από τη σχεδίαση, με κάθε συνεδρία να υποστηρίζεται από ξεχωριστό κλειδί. Αυτό περιορίζει τη δυνατότητα των ιστοσελίδων να παρακολουθούν τη δραστηριότητα των χρηστών σε πολλές περιόδους σύνδεσης. Ο συστηματικός σχεδιασμός του επιτρέπει ελάχιστη ανταλλαγή πληροφοριών, επιβεβαιώνοντας μόνο την κατοχή δημόσιου κλειδιού ανά περίοδο λειτουργίας, χωρίς να αποκαλύπτει αναγνωριστικά συσκευής.
Η Google, αφού δοκίμασε την πρώιμη έκδοση του DBSC με πολλές διαδικτυακές πλατφόρμες, όπως η Okta, παρατήρησε μία αξιοσημείωτη πτώση στα περιστατικά κλοπής περιόδων σύνδεσης. Αυτή η συνεργασία με τη Microsoft οδήγησε στην ανάπτυξη του DBSC ως πρότυπο του ανοιχτού ιστού και χρησιμοποίησε δεδομένα από πολλές επαγγελματικές πηγές ασφαλείας στον τομέα του διαδικτύου.
Οι προγραμματιστές που ενδιαφέρονται να αναβαθμίσουν τις διαδικασίες σύνδεσης δικτυακών εφαρμογών τους με ασφαλέστερες μεθόδους μπορούν να επισκεφτούν τον οδηγό της Google για Λεπτομέρειες υλοποίησης DBSC. Οι προδιαγραφές του DBSC είναι διαθέσιμες στον ιστότοπο του World Wide Web Consortium (W3C) και επεξηγήσεις μπορούν να βρεθούν στο GitHub για όσους επιθυμούν να εμβαθύνουν περισσότερο.
