В последнем обновлении Chrome (версия 146) Google серьезно взялся за борьбу с вредоносным ПО, крадущим информацию. Главная новость? "Device Bound Session Credentials" (DBSC) – новая мера безопасности, направленная непосредственно на предотвращение кражи сессионных cookie в Windows.
Так в чем же проблема с сессионными cookie? Это маленькие цифровые ключи, которые позволяют вам оставаться в системе на ваших любимых веб-сайтах. Украдите их, и злоумышленник сможет выдавать себя за вас в сети, получая доступ к вашим учетным записям без вашего пароля. Ничего хорошего!
DBSC разработана для того, чтобы сделать украденные сессионные cookie бесполезными. Как? Путем криптографической привязки аутентификации к конкретному устройству, на котором был начат сеанс. Если cookie украден с вашего компьютера и используется в другом месте, он просто не будет работать. Представьте себе цифровой замок, который открывается только определенной связкой ключей, привязанной к вашему компьютеру. Довольно умно, правда?
Как работает DBSC
Основной механизм на самом деле довольно элегантен. Chrome генерирует уникальную пару криптографических ключей на вашем устройстве. Открытый ключ отправляется на веб-сайт во время аутентификации. Затем веб-сайт использует этот ключ для шифрования сессионного cookie. Только исходное устройство, обладающее закрытым ключом, может расшифровать и использовать cookie. Следовательно, даже если вредоносное ПО сумеет заполучить cookie, он будет бесполезен на любом другом компьютере.
Как объясняет эксперт по безопасности Сара Кларк: "DBSC представляет собой значительный шаг вперед в защите пользователей от перехвата сеансов. Привязывая учетные данные сеанса к самому устройству, Google поднимает планку для злоумышленников".
Влияние на пользователей
Самое приятное? Для большинства пользователей все это происходит в фоновом режиме. Нет необходимости ничего настраивать; защита включена по умолчанию в Chrome 146. Вы просто получаете повышенную безопасность без каких-либо дополнительных хлопот. Но как насчет разработчиков? Какова их роль во всем этом?
Хотя для конечного пользователя все происходит незаметно, разработчикам веб-сайтов может потребоваться внести некоторые коррективы для полной поддержки DBSC. Тестирование совместимости имеет решающее значение для обеспечения того, чтобы эти новые меры безопасности непреднамеренно не нарушили существующие потоки аутентификации.
И это поднимает вопрос: примут ли другие браузеры аналогичные механизмы? Учитывая распространенность кражи cookie, вполне вероятно, что мы увидим появление аналогичных решений во всей браузерной экосистеме. В конечном счете, цель состоит в том, чтобы все труднее и труднее было киберпреступникам взламывать учетные записи пользователей.
Этот шаг Google является долгожданным дополнением к продолжающейся борьбе с вредоносным ПО и онлайн-мошенничеством. Это, конечно, не панацея, но это значительный шаг в правильном направлении.
