Google ka bërë Kredencialet e sesionit të lidhur me pajisjen (DBSC) përgjithësisht i disponueshëm për të gjithë përdoruesit e Windows të shfletuesit të tij të uebit Chrome, muaj pas tij filloi testimin funksioni i sigurisë në beta të hapur.

Disponueshmëria publike aktualisht është e kufizuar për përdoruesit e Windows në Chrome 146, me zgjerimin e macOS të planifikuar në një publikim të ardhshëm të Chrome.

“Ky projekt përfaqëson një hap të rëndësishëm përpara në përpjekjet tona të vazhdueshme për të luftuar vjedhjen e sesioneve, e cila mbetet një kërcënim i përhapur në peizazhin modern të sigurisë,” ekipet e Google Chrome dhe Siguria e llogarisë. tha në një postim të së enjtes.

Vjedhja e sesionit përfshin nxjerrjen e fshehtë të skedarëve të sesioneve nga shfletuesi i uebit, ose duke mbledhur ato ekzistuese ose duke pritur që një viktimë të identifikohet në një llogari, në një server të kontrolluar nga sulmuesi.

Në mënyrë tipike, kjo ndodh kur përdoruesit shkarkojnë pa dashje malware që vjedhin informacione në sistemet e tyre. Këto familje malware të vjedhësve – prej të cilave ka shumë, si Atomic, Lumma dhe Vidar Stealer – vijnë me aftësi për të mbledhur një gamë të gjerë informacionesh nga sistemet e komprometuara, duke përfshirë cookies.

Për shkak se kukit e sesioneve shpesh kanë jetëgjatësi të zgjatur, sulmuesit mund t’i përdorin ato për të fituar akses të paautorizuar në llogaritë në internet të viktimave pa pasur nevojë të dinë fjalëkalimet e tyre. Pasi të mblidhen, këto token paketohen dhe u shiten aktorëve të tjerë të kërcënimit për përfitime financiare. Kriminelët kibernetikë që i fitojnë ato mund të ndjekin sulmet e tyre.

DBSC, së pari shpallur nga Google në prill 2024, synon të kundërshtojë këtë abuzim duke e lidhur në mënyrë kriptografike seancën e vërtetimit me një pajisje specifike. Duke bërë këtë, ideja është që cookies të bëhen të pavlefshme edhe nëse ato vidhen nga malware.

“Ai e bën këtë duke përdorur module sigurie të mbështetura nga hardueri, si Moduli i Platformës së Besuar (TPM) në Windows dhe Enklava e Sigurt në macOS, për të gjeneruar një çift unik çelësash publik/privat që nuk mund të eksportohet nga makina,” shpjegoi Google.

“Lëshimi i skedarëve të rinj të sesioneve jetëshkurtër varet nga fakti që Chrome të provojë posedimin e çelësit përkatës privat të serverit. Për shkak se sulmuesit nuk mund ta vjedhin këtë çelës, çdo cookie e filtruar skadon shpejt dhe bëhet e padobishme për ata sulmues.”

Në rast se pajisja e një përdoruesi nuk mbështet ruajtjen e sigurt të çelësave, DBSC me hijeshi kthehet në sjelljen standarde pa thyer rrjedhën e vërtetimit, Google tha në dokumentacionin e zhvilluesit të tij.

Gjiganti i teknologjisë tha se ka vërejtur një reduktim të ndjeshëm të vjedhjes së sesioneve që nga fillimi i tij, një tregues i hershëm i suksesit të kundërmasës. Nisja zyrtare është vetëm fillimi, pasi kompania planifikon të sjellë DBSC në një gamë më të gjerë pajisjesh dhe të prezantojë aftësi të avancuara për t’u integruar më mirë me mjediset e ndërmarrjes.

Google, i cili punoi me Microsoft-in për të hartuar standardin me qëllim për ta bërë atë një standard të hapur ueb, theksoi gjithashtu se arkitektura DBSC është private nga dizajni dhe se qasja e veçantë e çelësit siguron që faqet e internetit nuk mund të përdorin kredencialet e sesionit për të lidhur aktivitetin e një përdoruesi nëpër sesione ose sajte të ndryshme në të njëjtën pajisje.

“Për më tepër, protokolli është krijuar për të qenë i dobët: ai nuk nxjerr identifikuesit e pajisjes ose të dhënat e vërtetimit në server përtej çelësit publik të çdo sesioni që kërkohet për të vërtetuar dëshminë e posedimit”, shtoi ai. “Ky shkëmbim minimal informacioni siguron që DBSC të ndihmojë në sigurimin e seancave pa mundësuar gjurmimin në faqet e internetit ose duke vepruar si një mekanizëm për marrjen e gjurmëve të gishtave të pajisjes.”