Google устранила уязвимость в Chrome, сделав украденные куки неэффективными
Google добавила защиту от кражи cookie‑сессий в Chrome 146
*Новая технология – Device Bound Session Credentials (DBSC) – криптографически привязывает активные сеансы пользователей к аппаратному обеспечению их устройств.*
Что изменилось
| Платформа | Как работает защита |
|---|---|
| Windows | Использует модуль Trusted Platform Module (TPM). Чип генерирует уникальные ключи, которые нельзя экспортировать. Новые cookie‑сессии выдаются только после подтверждения Chrome владением приватным ключом. |
| macOS | Защита будет добавлена в одном из будущих обновлений браузера через Secure Enclave – аналог TPM. |
Как это работает
1. При создании новой сессии Chrome генерирует публичный/приватный ключ, привязанный к чипу безопасности.
2. Сервер получает только публичный ключ и использует его для шифрования cookie‑сессии.
3. Чтобы получить доступ к данным, клиент должен доказать владение приватным ключом – это возможно лишь на том же устройстве.
4. Если злоумышленник украдет cookie, но не имеет доступа к чипу, сессия сразу становится недействительной.
Почему это важно
* Сессионные куки – токены аутентификации, которые позволяют пользователю входить в сервисы без повторного ввода пароля.
* Вредоносное ПО (инфостилеры) вроде LummaC2 читает эти файлы и память браузера, чтобы украсть данные.
* Программные методы защиты не всегда эффективны – если злоумышленник получил доступ к машине, он может получить cookie любой сложности.
DBSC минимизирует обмен данными: только публичный ключ передаётся серверу, а идентификатор устройства остаётся скрытым. Каждая сессия защищена отдельным ключом, что препятствует отслеживанию активности пользователя между разными сеансами.
Тестирование и поддержка
* Google протестировала раннюю версию DBSC совместно с несколькими веб‑платформами (включая Okta).
* Было зафиксировано заметное снижение краж сессий.
* Протокол разработан в сотрудничестве с Microsoft как открытый веб‑стандарт и получил одобрение экспертов по веб‑безопасности.
Как сайты могут воспользоваться
1. Добавьте точки регистрации и обновления сессионных cookie, которые используют DBSC, в свой бэкенд.
2. Это не повлияет на существующий фронтенд – совместимость сохраняется.
Спецификации доступны на сайте W3C, а подробное руководство по внедрению можно найти в документации Google и репозитории GitHub.
Итог: Новая функция Chrome 146 обеспечивает более надёжную защиту от кражи cookie‑сессий, связывая их с аппаратным обеспечением пользователя. Это делает украденные токены бесполезными почти мгновенно и повышает общую безопасность веб‑приложений.
Asted Cloud
Комментарии (0)
Оставьте отзыв — пожалуйста, будьте вежливы и по теме.
Войти, чтобы комментировать