Η Google έκαψε την ευπάθεια στο Chrome, κάνοντας τα κλεμμένα cookies ανεπάρκιστα.

Το Google προσθέτει προστασία από κλοπή cookie‑συνεδριών στο Chrome 146

*Η νέα τεχνολογία – Device Bound Session Credentials (DBSC) – κρυπτογραφικά συνδέει τις ενεργές συνεδρίες των χρηστών με το υλικό των συσκευών τους.*

Τι άλλαξε
Πλατφόρμα Πώς λειτουργεί η προστασία Windows Χρησιμοποιεί το Trusted Platform Module (TPM). Το τσιπ δημιουργεί μοναδικούς κλειδιά που δεν μπορούν να εξαχθούν. Οι νέες cookie‑συνεδρίες εκδίδονται μόνο μετά από επιβεβαίωση της Chrome ότι κατέχει το ιδιωτικό κλειδί. macOS Η προστασία θα προστεθεί σε ένα από τα μελλοντικά ενημερώσεις του φυλλομετρητή μέσω Secure Enclave – αντίστοιχο του TPM.

Πώς λειτουργεί
1. Κατά τη δημιουργία νέας συνεδρίας, η Chrome παράγει δημόσιο/ιδιωτικό κλειδί που συνδέεται με το τσιπ ασφαλείας.

2. Ο διακομιστής λαμβάνει μόνο το δημόσιο κλειδί και το χρησιμοποιεί για την κρυπτογράφηση της cookie‑συνεδρίας.

3. Για να αποκτήσει πρόσβαση στα δεδομένα, ο πελάτης πρέπει να αποδείξει ότι κατέχει το ιδιωτικό κλειδί – αυτό είναι δυνατό μόνο στη ίδια συσκευή.

4. Αν ένας επιτιθέμενος κλέψει τη cookie αλλά δεν έχει πρόσβαση στο τσιπ, η συνεδρία αμέσως γίνεται άκυρη.

Γιατί είναι σημαντικό
* Οι cookie‑συνεδρίες είναι διακριτικά ταυτότητας που επιτρέπουν στον χρήστη να εισέρχεται σε υπηρεσίες χωρίς επαναλαμβανόμενη είσοδο κωδικού.

* Κακόβουλο λογισμικό (infostylers) όπως το LummaC2 διαβάζει αυτά τα αρχεία και τη μνήμη του φυλλομετρητή για να κλέψει δεδομένα.

* Οι προγραμματιστικές μέθοδοι προστασίας δεν είναι πάντα αποτελεσματικές – αν ο επιτιθέμενος έχει πρόσβαση στον υπολογιστή, μπορεί να αποκτήσει cookie οποιασδήποτε πολυπλοκότητας.

Η DBSC ελαχιστοποιεί την ανταλλαγή δεδομένων: μόνο το δημόσιο κλειδί αποστέλλεται στον διακομιστή, ενώ ο αναγνωριστικός αριθμός της συσκευής παραμένει κρυφός. Κάθε συνεδρία προστατεύεται με ξεχωριστό κλειδί, εμποδίζοντας την παρακολούθηση της δραστηριότητας του χρήστη μεταξύ διαφορετικών συνεδριών.

Δοκιμές και υποστήριξη
* Η Google δοκίμασε μια πρώιμη έκδοση της DBSC σε συνεργασία με διάφορες πλατφόρμες ιστού (συμπεριλαμβανομένης της Okta).

* Παρατηρήθηκε σημαντική μείωση των κλοπών συνεδριών.

* Το πρωτόκολλο αναπτύχθηκε σε συνεργασία με την Microsoft ως ανοιχτός προτύπος ιστού και έλαβε έγκριση από ειδικούς ασφαλείας ιστού.

Πώς μπορούν οι ιστοσελίδες να το χρησιμοποιήσουν
1. Προσθέστε σημεία εγγραφής και ενημέρωσης cookie‑συνεδρίων που χρησιμοποιούν DBSC στο backend σας.

2. Αυτό δεν θα επηρεάσει την υπάρχουσα frontend – η συμβατότητα διατηρείται.

Οι προδιαγραφές είναι διαθέσιμες στον ιστότοπο του W3C, και ένας λεπτομερής οδηγός υλοποίησης μπορεί να βρεθεί στην τεκμηρίωση της Google και στο αποθετήριο GitHub.

Συμπέρασμα: Η νέα λειτουργία του Chrome 146 παρέχει πιο αξιόπιστη προστασία από κλοπή cookie‑συνεδριών, συνδέοντάς τις με το υλικό του χρήστη. Αυτό καθιστά τους κλεμμένους διακριτικούς άχρηστους σχεδόν αμέσως και αυξάνει τη συνολική ασφάλεια των διαδικτυακών εφαρμογών.