У Chrome 146 для Windows з’явилася нова функція безпеки під назвою Device Bound Session Credentials (DBSC). Її робота базується на криптографічній прив’язці сесій автентифікації до фізичного пристрою, який використовувався для входу в систему, пише TechRadar.
Читайте также: Топменеджер Microsoft вважає, що ШІ-агентам потрібно купувати ліцензії на софт нарівні з людьми
Це робиться за допомогою апаратних модулів безпеки (таких як Trusted Platform Module або TPM у Windows) для генерації унікальної пари публічного та приватного ключів, які неможливо експортувати за межі комп’ютера.
«Видача нових короткочасних сесійних кукі-файлів залежить від того, чи зможе Chrome підтвердити серверу володіння відповідним приватним ключем», — пояснили в Google. «Оскільки зловмисники не можуть викрасти цей ключ, будь-які вилучені кукі-файли швидко втрачають чинність і стають марними для нападників».
Google зазначає, що нова функція дозволить вебсайтам перейти на захищені сесії шляхом додавання спеціальних кінцевих точок для реєстрації та оновлення на стороні сервера, зберігаючи при цьому сумісність з існуючим інтерфейсом.
Chrome самостійно керуватиме криптографією та ротацією кукі-файлів, тоді як вебзастосунок продовжуватиме використовувати стандартні кукі для доступу, як і раніше. Наразі пошуковий гігант випустив оновлення лише для Windows, а версія для macOS з’явиться протягом найближчих тижнів.
Читайте также: У будинок гендиректора OpenAI кинули «коктейль Молотова»: 20-річний нападник також погрожував підпалити штаб-квартиру компанії
За словами Google, рання версія цього протоколу була впроваджена у 2025 році. Компанія зазначила, що для сесій, захищених за допомогою DBSC, спостерігалося «значне скорочення» випадків викрадення даних.
Відтоді як багатофакторна автентифікація стала галузевим стандартом, сесійні кукі-файли браузера набули надзвичайної цінності. Оскільки ці файли генеруються вже після проходження автентифікації, кіберзлочинці можуть фактично обійти цей важливий етап перевірки та отримати доступ до цільових облікових записів.
Зазвичай хакери викрадають ці кукі-файли за допомогою шкідливого ПЗ класу «інфостілер», обманом змушуючи своїх жертв завантажувати Lumma, Vidar, StealC, AMOS або будь-які інші варіанти вірусів. Такі програми здатні викрадати не лише сесійні кукі, а й збережені паролі, дані криптовалютних гаманців, вміст буфера обміну та багато іншого.
Читайте также: Meta блокує рекламу позовів проти себе: компанія прибирає оголошення про залежність від соцмереж