Google анонсировала функцию безопасности Chrome под названием «Учётные данные сеанса, привязанного к устройству» (Device Bound Session Credentials, DBSC), которая связывает файлы cookie с конкретным устройством пользователя и не позволяет хакерам красть и использовать их для взлома учётных записей.Такая мера принята, поскольку файлы cookie позволяют обходить многофакторную аутентификацию при входах в системы.Новая функция не позволяет злоумышленникам работать путём криптографической привязки cookie аутентификации к устройству.
Процесс аутентификации связан с конкретной новой парой открытых/закрытых ключей, созданной с использованием чипа доверенного платформенного модуля (TPM) устройства.Инженер-программист из команды Google по борьбе со злоупотреблениями в Chrome Кристиан Монсен отметил, что теперь злоумышленникам придётся действовать локально на устройстве.Протестировать функцию можно, перейдя на chrome://flags/ и включив специальный флаг «enable-bound-session-credentials».Каждый сеанс поддерживается уникальным ключом, при этом сервер получает только открытый ключ, который позже будет использоваться для аутентификации.
Функция не позволяет сайтам отслеживать пользователя в разных сеансах на одном устройстве, и созданные ключи можно удалить в любое время.Компания работает над тем, чтобы включить эту технологию для клиентов Google Workspace и Google Cloud.Ранее сообщалось, что вредоносные программы Lumma и Rhadamanthys, вероятно, могут восстановить старые файлы cookie аутентификации Google, украденные в результате атак.
Читать на habr.com