Google a eliminat vulnerabilitatea din Chrome, făcând cookie-urile furate ineficiente

Google a adăugat protecție împotriva furtului de cookie‑sesii în Chrome 146

*Noua tehnologie – Device Bound Session Credentials (DBSC) – leagă criptografic sesiunile active ale utilizatorilor la hardware-ul dispozitivelor lor.*

Ce s-a schimbat
Platformă Cum funcționează protecția Windows Utilizează modulul Trusted Platform Module (TPM). Chipul generează chei unice care nu pot fi exportate. Cookie‑sesii noi sunt emise doar după confirmarea Chrome că deține cheia privată. macOS Protecția va fi adăugată într-una dintre viitoarele actualizări ale browserului prin Secure Enclave – un echivalent al TPM.

Cum funcționează
1. La crearea unei sesiuni noi, Chrome generează o cheie publică/privată legată de chipul de securitate.

2. Serverul primește doar cheia publică și o folosește pentru criptarea cookie‑sesiei.

3. Pentru a accesa datele, clientul trebuie să dovedească posesia cheii private – acest lucru este posibil numai pe același dispozitiv.

4. Dacă un atacator fura cookie-ul, dar nu are acces la chip, sesiunea devine imediat nevalidă.

De ce contează
* Cookie‑urile de sesiune sunt tokenuri de autentificare care permit utilizatorului să se conecteze la servicii fără a introduce din nou parola.

* Malware (infostilere) precum LummaC2 citește aceste fișiere și memoria browserului pentru a fura datele.

* Metodele software de protecție nu sunt întotdeauna eficiente – dacă atacatorul obține acces la mașină, poate prelua cookie-uri de orice complexitate.

DBSC minimizează schimbul de date: doar cheia publică este transmisă serverului, iar identificatorul dispozitivului rămâne ascuns. Fiecare sesiune este protejată cu o cheie distinctă, ceea ce împiedică urmărirea activității utilizatorului între diferite sesiunile.

Testare și suport
* Google a testat versiunea timpurie de DBSC în colaborare cu mai multe platforme web (inclusiv Okta).

* S-a observat o scădere semnificativă a furturilor de sesiuni.

* Protocolul a fost dezvoltat în colaborare cu Microsoft ca standard web deschis și a primit aprobarea experților în securitatea web.

Cum pot site-urile să profite
1. Adăugați puncte de înregistrare și actualizare a cookie‑lor de sesiune care utilizează DBSC în backend-ul vostru.

2. Aceasta nu va afecta front-endul existent – compatibilitatea este păstrată.

Specificațiile sunt disponibile pe site-ul W3C, iar ghidul detaliat de implementare poate fi găsit în documentația Google și în depozitele GitHub.

Concluzie: Funcția nouă a Chrome 146 oferă o protecție mai robustă împotriva furtului de cookie‑sesii, legându-le de hardware-ul utilizatorului. Aceasta face tokenurile furate aproape instantaneu inutile și crește securitatea generală a aplicațiilor web.