Пенка Христовська
Google розробив новий прототип функції для браузера Chrome, спрямований на боротьбу зі спробами злому, які використовують зловмисне програмне забезпечення для викрадення файлів cookie браузера та викрадення онлайн-акаунтів.
Нова технологія під назвою «Device Bound Session Credentials» використовує шифрування, щоб заблокувати хакерам захоплення сеансів входу за допомогою крадіжки cookie.
Інтернет-куки – це невеликі текстові файли, які зберігаються на вашому комп’ютері веб-браузером. Вони допомагають веб-сайтам запам’ятовувати ваші налаштування, як-от дані для входу, тож вам не потрібно вводити їх щоразу, коли ви відвідуєте. Однак ці файли cookie стають уразливими, якщо хакер заражає ваш комп’ютер шкідливим програмним забезпеченням, оскільки вони можуть легко викрасти ці файли cookie, щоб отримати доступ до ваших облікових записів в Інтернеті, не потребуючи вашого пароля.
«Подібне крадіжка файлів cookie відбувається після входу в систему, тому воно обходить двофакторну автентифікацію та будь-які інші перевірки репутації під час входу», — пояснює в блозі розробник програмного забезпечення Google Крістіан Монсен. «Це також важко пом’якшити за допомогою антивірусного програмного забезпечення, оскільки вкрадені файли cookie продовжують працювати навіть після того, як зловмисне програмне забезпечення виявлено та видалено».
Щоб вирішити цю проблему, Google працює над тим, щоб «прив’язати» файли cookie для автентифікації до комп’ютера користувача, стратегію, яка передбачає включення криптографії з відкритим ключем до файлів cookie. Це означає, що щоразу, коли браузер ініціює новий сеанс входу, він генеруватиме ключ шифрування прямо на ПК користувача. Цей ключ використовується для підтвердження законності входу безпосередньо на сервер веб-сайту, додаючи додатковий рівень безпеки для запобігання неавторизованому доступу.
Щоб гарантувати безпеку ключів шифрування, Google планує зберігати їх у чіпі Trusted Platform Module (TPM) ПК з Windows. Цей чіп спеціально створено для захисту криптографічних ключів і перевірки цілісності операційної системи — і тепер він є обов’язковим для запуску Windows 11.
Потім веб-сайт може підтвердити автентичність файлу cookie для автентифікації за допомогою API, який перевіряє легітимність ключа шифрування, пов’язаного з сеансом входу, гарантуючи, що сеанс безпечний і авторизований.
«Це гарантує, що сеанс продовжується на тому самому пристрої, забезпечуючи регулярні проміжки часу, встановлені сервером», — сказав Монсен. «Ми вважаємо, що це суттєво знизить рівень успіху зловмисного програмного забезпечення для крадіжки файлів cookie. Зловмисники будуть змушені діяти локально на пристрої, що зробить виявлення та очищення на пристрої більш ефективними як для антивірусного програмного забезпечення, так і для корпоративних пристроїв».
Google прагне зробити цей проект «відкритим веб-стандартом», що підвищить безпеку для всіх користувачів у мережі, і планує запустити повну робочу пробну версію цієї технології до кінця 2024 року.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.safetydetectives.com/news/google-introduces-new-chrome-feature-to-combat-cookie-hijacking/
