Google přidal do prohlížeče Chrome 146 podporu technologie Device Bound Session Credentials (DBSC), která má uživatelům ve Windows pomoci chránit jejich přihlašovací relace před krádeží.
Co je DBSC a proč na tom záleží
Krádež souborů cookie relace patří dlouhodobě k oblíbeným metodám útočníků. Jakmile se jim podaří takový soubor cookie získat – například prostřednictvím malwaru nebo phishingové kampaně – mohou se přihlásit do účtu oběti, aniž by znali její heslo či prošli vícefaktorovým ověřením. Dosavadní bezpečnostní mechanismy tento typ útoku nedokázaly spolehlivě blokovat.
Technologie DBSC tento problém řeší tím, že přihlašovací relaci pevně váže na konkrétní zařízení. Využívá k tomu čip TPM (Trusted Platform Module), jenž je součástí moderních počítačů se systémem Windows. Relační klíče jsou uloženy přímo v čipu a nelze je z něj exportovat – útočník proto nemůže odcizený soubor cookie použít na jiném stroji.
Jak DBSC funguje v praxi
Při vytvoření nové relace prohlížeč vygeneruje dvojici kryptografických klíčů přímo v čipu TPM. Veřejný klíč je sdílen se serverem, soukromý klíč zůstává uzamčen v hardwaru a nikdy neopustí zařízení uživatele.
Server pak v pravidelných intervalech ověřuje, zda komunikuje skutečně s původním zařízením. Pokud útočník získá soubor cookie a pokusí se jej použít na jiném počítači, ověření selže a přístup mu bude odepřen.
Postupné zavádění a budoucí plány
Google nasazuje DBSC v Chrome 146 zatím postupně – v první fázi je funkce dostupná vybrané skupině uživatelů s Windows. Plná podpora pro ostatní operační systémy i platformy je plánována do budoucna.
Technologie je navržena jako otevřený standard, takže ji mohou do svých produktů a služeb integrovat i další vývojáři prohlížečů a poskytovatelé webových aplikací. Google již dříve funkci testoval v rámci programu pro důvěryhodné testery a nyní ji posouvá do širšího nasazení.
DBSC představuje výrazný krok vpřed v oblasti ochrany webových relací. Přesouváme se od světa, kde stačilo ukrást jediný soubor cookie, do světa, kde samotný klíč od relace fyzicky opustit zařízení jednoduše nelze.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
