Новая функция Chrome помешает хакерам использовать ворованные cookie - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Новая функция Chrome помешает хакерам использовать ворованные cookie - «Новости»

Разработчики Google анонсировали новую защитную функцию Chrome под названием Device Bound Session Credentials, которая привязывает файлы cookie к конкретному устройству, что должно помешать хакерам похищать их и использовать для взлома учетных записей.


Чтобы решить проблему кражи cookie и их последующего использования для обхода многофакторной аутентификации, в Google создали функцию Device Bound Session Credentials (DBSC), которая криптографически привязывает аутентификационые cookie к конкретному устройству.


После активации DBSC процесс аутентификации связывается с новой парой из публичного и приватного ключей, сгенерированных с помощью чипа Trusted Platform Module (TPM) на устройстве. Во время сеанса сервер периодически проверяет наличие закрытого ключа, чтобы убедиться, что тот все еще находится на том же устройстве. Разработчики уверяют, что такие ключи не могут быть похищены и надежно хранятся на устройстве, поэтому даже если злоумышленники украдут файлы cookie, они не смогут получить доступ к учетным записям жертвы.


«Привязывая сеансы аутентификации к устройству, DBSC стремится подорвать индустрию хищения файлов cookie, поскольку их кража более не будет приносить никакой пользы, — рассказывает Кристиан Монсен (Kristian Monsen), инженер из команды по борьбе со злоупотреблениями в Google Chrome. — Мы считаем, что это значительно снизит эффективность вредоносных программ для кражи файлов cookie. Злоумышленники будут вынуждены действовать локально, что сделает обнаружение и обезвреживание [малвари] на устройстве более эффективными как в случае антивирусного ПО, так и в случае с корпоративными устройствами».


Пока DBSC находится на стадии прототипа, однако Google сообщает, что функцию уже можно протестировать. Для этого понадобится зайти в chrome://flags/ и установить флаг enable-bound-session-credentials.


DBSC позволяет серверу начать новую сессию с браузером пользователя и связывает ее с публичным ключом, хранящимся на устройстве, используя специальный API. Каждый сеанс имеет уникальный ключ, а сервер получает только публичный ключ, который впоследствии используется для верификации. Утверждается, что DBSC не позволяет сайтам отслеживать разные сессии пользователя на одном устройстве, а созданные ключи можно удалить в любой момент.


Ожидается, что на начальном этапе новая функция будет поддерживаться примерно половиной всех десктопов с Chrome на борту. А когда DBSC будет развернута полностью, защита заработает для обычных и корпоративных пользователей автоматически.


«Также мы уже работаем над внедрением этой технологии для наших клиентов Google Workspace и Google Cloud, чтобы предоставить им еще один уровень безопасности аккаунтов», — добавляет Монсен.


Разработчики Google анонсировали новую защитную функцию Chrome под названием Device Bound Session Credentials, которая привязывает файлы cookie к конкретному устройству, что должно помешать хакерам похищать их и использовать для взлома учетных записей. Чтобы решить проблему кражи cookie и их последующего использования для обхода многофакторной аутентификации, в Google создали функцию Device Bound Session Credentials (DBSC), которая криптографически привязывает аутентификационые cookie к конкретному устройству. После активации DBSC процесс аутентификации связывается с новой парой из публичного и приватного ключей, сгенерированных с помощью чипа Trusted Platform Module (TPM) на устройстве. Во время сеанса сервер периодически проверяет наличие закрытого ключа, чтобы убедиться, что тот все еще находится на том же устройстве. Разработчики уверяют, что такие ключи не могут быть похищены и надежно хранятся на устройстве, поэтому даже если злоумышленники украдут файлы cookie, они не смогут получить доступ к учетным записям жертвы. «Привязывая сеансы аутентификации к устройству, DBSC стремится подорвать индустрию хищения файлов cookie, поскольку их кража более не будет приносить никакой пользы, — рассказывает Кристиан Монсен (Kristian Monsen), инженер из команды по борьбе со злоупотреблениями в Google Chrome. — Мы считаем, что это значительно снизит эффективность вредоносных программ для кражи файлов cookie. Злоумышленники будут вынуждены действовать локально, что сделает обнаружение и обезвреживание _
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: