Google lansează Device Bound Session Credentials în Chrome pentru a preveni furtul de cookie-uri de sesiune

Google leagă cookie-urile de sesiune de dispozitiv în Chrome, reducând riscul de furt de conturi : potrivit techradar.com , Chrome 146 pentru Windows introduce „Device Bound Session Credentials” (DBSC), o funcție care face mult mai dificilă folosirea cookie-urilor de sesiune furate în atacuri cu malware de tip infostealer. DBSC „leagă” criptografic sesiunea de autentificare de dispozitivul fizic folosit la logare, prin module de securitate susținute de hardware (de exemplu, Trusted Platform Module pe Windows). Practic, browserul generează o pereche de chei publică/privată care nu poate fi exportată de pe mașină, iar serverul emite cookie-uri de sesiune cu durată scurtă doar dacă Chrome poate dovedi că deține cheia privată asociată. De ce contează pentru securitatea operațională Miza este reducerea furtului de sesiuni, o metodă prin care atacatorii pot ocoli autentificarea cu mai mulți factori (MFA). Cookie-urile de sesiune sunt create după autentificare, iar dacă sunt exfiltrate, pot permite accesul la conturi fără a mai trece prin MFA. Google susține că, în modelul DBSC, chiar dacă un atacator reușește să fure cookie-urile, acestea „expiră rapid” și devin inutile, deoarece cheia privată necesară nu poate fi sustrasă. Ce trebuie să facă site-urile ca să beneficieze Dincolo de schimbarea din browser, funcția cere și adaptări pe partea de server. Conform descrierii, site-urile pot trece la „sesiuni securizate” prin adăugarea unor puncte dedicate (endpoints) de înregistrare și reîmprospătare în backend, păstrând compatibilitatea cu interfața existentă. Chrome se ocupă de criptografie și rotația cookie-urilor, iar aplicația web continuă să folosească cookie-uri standard pentru acces, ca până acum. Disponibilitate și ce urmează Funcția este disponibilă acum în Chrome 146 pe Windows. Varianta pentru macOS este așteptată „în săptămânile următoare”. Google mai spune că o versiune timpurie a protocolului a fost lansată în 2025 și că, pentru sesiunile protejate de DBSC, a observat o „reducere semnificativă” a furtului de sesiuni, fără a oferi însă cifre în materialul citat. În context, techradar.com amintește că infostealerele folosite frecvent pentru furtul de date includ familii precum Lumma, Vidar, StealC și AMOS, capabile să extragă nu doar cookie-uri, ci și parole stocate, date din portofele cripto și conținutul clipboard-ului. [...]