Нов механизъм обвързва потребителските сесии с хардуера

Google внедрява нова защита в браузъра Google Chrome версия 146 за Windows, която цели да спре една от най-разпространените техники за компрометиране на акаунти – кражбата на сесийни „бисквитки“.

Технологията, наречена Device Bound Session Credentials (DBSC), криптографски обвързва потребителската сесия с конкретното устройство, което я е създало.

Как работи DBSC

Новият механизъм използва хардуерни защитни модули като:

• Trusted Platform Module (TPM) при Windows
• Secure Enclave при macOS

При създаване на сесия се генерира уникална двойка ключове (публичен и частен), като частният ключ остава защитен в хардуера и не може да бъде извлечен.

Това означава, че дори ако атакуващ открадне сесийна „бисквитка“, тя няма да може да бъде използвана без съответния частен ключ.

Защо това е важно

Сесийните „бисквитки“ играят ключова роля в удостоверяването на потребителя. Те позволяват достъп до акаунти без повторно въвеждане на парола, което ги прави ценна цел за зловреден софтуер.

Особено опасни са т.нар. infostealer заплахи, като LummaC2, които са специализирани в извличането на такива данни от браузъри.

Според Google, дори най-добрите софтуерни защити не могат напълно да предотвратят кражбата на „бисквитки“, ако системата вече е компрометирана. Именно тук DBSC предлага нов подход – дори откраднатите данни стават безполезни.

Какво се променя за атакуващите

С новата защита:

• откраднатите сесии изтичат почти веднага
• липсата на частния ключ прави повторното им използване невъзможно
• сървърите изискват доказателство за притежание на ключа при всяка заявка

Това значително намалява ефективността на масовите атаки чрез кражба на сесии.

Поверителност и стандартизация

DBSC е проектиран с акцент върху поверителността:

• всяка сесия използва отделен криптографски ключ
• не се споделят постоянни идентификатори на устройството
• минимизира се обменът на информация между клиент и сървър

Технологията се разработва съвместно с Microsoft и се предлага като отворен уеб стандарт с участие на индустриални партньори и организации като W3C.

Резултати и бъдещо развитие

В рамките на тестове с платформи като Okta е отчетен значителен спад в случаите на кражба на сесии.

Към момента функцията е налична за Windows, като поддръжка за macOS се очаква в бъдеща версия на Chrome.

Какво означава това за бизнеса и разработчиците

Уеб платформите могат да внедрят DBSC чрез добавяне на специализирани механизми за регистрация и обновяване на сесиите, без да се налагат промени във фронтенда.

Това дава възможност за по-високо ниво на сигурност без компромис с потребителското изживяване.