Cookie-lopás elleni védelem jön a Chrome-ba

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

A Google bejelentette, hogy új védelmi funkciót vezet be a Chrome böngészőbe, amivel jelentősen megnehezíti, hogy az ellopott munkamenet sütikkel (session cookie) feltörhessék a felhasználói fiókokat.

A támadók különféle rosszindulatú programmal hozzáférhetnek a felhasználók eszközein tárolt munkamenet sütikhez, amelyek segítségével képesek megkerülni a hagyományos védelmi mechanizmusokat és hozzáférni a felhasználói fiókokhoz. A Device Bound Session Credentials (DBSC) elnevezésű funkciót még 2024 áprilisában jelentette be a Google, majd a Chrome 146-os verziójában vált elérhetővé Windows rendszeren, macOS rendszeren azonban csak később fog megérkezni a támogatás.

A DBSC olyan titkosítással védi a munkamenet sütiket, amely hardveres biztonsági modult használ a nyilvános és privát kulcsok generálásához, majd ezek segítségével a szerver kriptográfiai kihívások során ellenőrzi, hogy a kliens rendelkezik-e a szükséges privát kulccsal. Mivel a támadók nem képesek megszerezni a felhasználók eszközéhez kötött kulcsokat, a kiszivárgott cookie-k más eszközön nem használhatók fel, ami jelentősen csökkenti a visszaélés lehetőségét.

A Google a Microsoft támogatásával, nyílt szabványként építette fel a DBSC-t a W3C folyamaton keresztül, amelyek tesztelését az Okta és más webes platformok végezték. A megvalósítással kapcsolatos részletek a webfejlesztőknek szóló útmutatóban érhetők el.