Google sta lavorando su una nuova funzionalità di sicurezza per Chrome chiamata Credenziali della sessione di associazione del dispositivo (DBSC), mira a impedire agli aggressori di utilizzare cookie di sessione rubati per accedere agli account degli utenti.
I cookie di sessione (ovvero di autenticazione) vengono memorizzati dai browser quando un utente accede alle risorse web. Ottenendolo consente agli aggressori di lanciare attacchi di “passaggio di cookie” inserendo token di accesso rubati in nuove sessioni web e quindi “impersonando” l'utente originale senza doversi autenticare.
Disabilita l'ecosistema del furto di cookie
Da qualche tempo gli aggressori rubano i cookie di sessione, solitamente utilizzando malware, in modo da poter aggirare l’autenticazione a più fattori.
DBSC mira a vincolare le sessioni di autenticazione al dispositivo, in modo che i cookie rubati siano inutili per gli aggressori a meno che non possano agire localmente sul dispositivo. Ma se fossero costretti a farlo, la loro presenza verrebbe probabilmente scoperta, afferma Christian Monsen, un ingegnere informatico senior del team anti-abuso di Chrome di Google.
“Ad alto livello, l'API DBSC consente al server di avviare una nuova sessione utilizzando un browser specifico sul dispositivo”, ha spiegato. “Quando il browser avvia una nuova sessione, crea localmente una nuova coppia di chiavi pubblica/privata sul dispositivo.” dispositivo e utilizza il sistema operativo per archiviare in modo sicuro la chiave privata in un modo che ne rende difficile l'esportazione.
“Chrome utilizzerà strutture come Trusted Platform Modules (TPM) per proteggere le chiavi, che stanno diventando sempre più comuni e richieste per Windows 11, e non vediamo l'ora di supportare anche soluzioni isolate dal software.”
Ad ogni sessione sarà associata una chiave pubblica. I server possono verificare se l'utente/dispositivo che accede alla risorsa dispone della chiave privata e lo faranno per tutta la durata della sessione per garantire che la sessione sia ancora sullo stesso dispositivo.
“Per rendere ciò possibile dal punto di vista della latenza e per aiutare a migrare le soluzioni basate sui cookie, DBSC utilizza queste chiavi per mantenere aggiornati i cookie di breve durata attraverso un endpoint dedicato definito da DBSC sul sito Web. “Ciò accade al di fuori dell'ambito normale traffico web, riducendo le modifiche necessarie ai siti Web e alle applicazioni legacy”.
Non esiste alcun tracciamento online
Munson sottolinea che queste chiavi non possono essere utilizzate per tracciare gli utenti online, perché DBSC non consente ai siti di collegare chiavi di sessioni diverse sullo stesso dispositivo. Gli utenti potranno anche eliminare le chiavi quando lo desiderano.
“DBSC sarà pienamente compatibile con l'eliminazione graduale dei cookie di terze parti in Chrome. In contesti di terze parti, DBSC avrà la stessa disponibilità e/o frammentazione dei cookie di terze parti, come determinato dalle preferenze dell'utente e da altri fattori. Per garantire che DBSC non diventi un nuovo vettore di tracciamento una volta eliminati i cookie di terze parti, garantendo che nel frattempo questi cookie possano essere completamente protetti. maschio.
“Se un utente disattiva completamente i cookie, i cookie di terze parti o i cookie specifici del sito, ciò disabiliterà DBSC anche in questi scenari.”
DBSC: standard web aperto?
Questa funzionalità è ancora in fase di elaborazione ed è beta ed è limitata ad alcuni utenti che utilizzano la versione beta di Chrome e Google Piano Gli sviluppatori potranno provarlo entro la fine dell'anno.
Google spera inoltre che DBSC diventi uno standard aperto per il web.
“Molti provider di server, provider di identità (IdP) come Okta e browser come Microsoft Edge hanno espresso interesse per DBSC perché desiderano proteggere i propri utenti dal furto di cookie. Stiamo contattando tutte le parti interessate per garantire di poter fornire uno standard che si adatta a diversi tipi di siti Web.” In un modo che mantenga la privacy.
“Subtly charming TV pundit. Alcohol addict. Unapologetic zombie enthusiast.”