Google поставя железни окови на вашите бисквитки: дългоочакваната функция DBSC е тук
Гугъл уголемява границите на сигурността с нова самодейност, като направи общедостъпна бета версия на технологията Device Bound Session Credentials (DBSC) — функционалност, която разрешава да се защитят потребителите от кражба на сесийни бисквитки. Първоначално показана като първообраз през април 2024 година, системата към този момент е налична в браузъра Chrome за Windows и свързва сесиите за засвидетелствуване с съответно устройство. Това значи, че даже при кражба на бисквитки, евентуален хакер няма да може да ги употребява на различен компютър.
DBSC ускорява отбраната след влизане в системата, като блокира опцията за отдалечена авторизация от друго устройство. Такова свързване предотвратява повторното потребление на бисквитки за завладяване на сесията и усъвършенства целостта на данните за авторизация. Технологията има за цел да укрепи отбраната на сметките освен сега на влизане, само че и по време на цялата работа с услугите.
В допълнение към DBSC, Гугъл разгласи разширение на поддръжката на технологията passkey — в този момент тя може да се употребява от над 11 милиона корпоративни клиенти на Гугъл Workspace. Бяха въведени и нови административни принадлежности, позволяващи надзор на регистрацията на ключове и ограничение на потреблението единствено до хардуерни токени.
Успоредно с това компанията започва затворено тестване на нов механизъм за продан на сигнали за сигурност — Shared Signals Framework (SSF). Този протокол, основан на стандарта OpenID, е предопределен за бързо предаване на информация за евентуални произшествия сред разнообразни системи. SSF основава архитектура, в която едни услуги („ предаватели “) могат оперативно да оповестяват на други („ приемници “) за подозрителна интензивност, което дава опция за незабавна реакция на заканите и синхронизиране на защитните ограничения.
Освен това, подразделението Project Zero на Гугъл, профилирано в търсенето на уязвимости от вида „ нулев ден “ разгласи стартирането на пилотна самодейност Reporting Transparency.
Нейната цел е да редуцира времето сред основаването на промяна и нейната досегаемост за крайните консуматори. Често казусът поражда не на равнище консуматор, а при фирмите, които употребяват външни съставни елементи – те не съумяват да интегрират полученото корекция в своите артикули. Новият стадий в процеса на откриване на уязвимости допуска издание на информация за открития проблем в границите на една седмица след предаването му на разработчика.
В отчетите към този момент ще се показва името на производителя или плана, наименованието на продукта, датата на изпращане на отчета и крайният период по 90-дневната политика за откриване. В пилотния лист към този момент са включени две уязвимости в Windows, неточност в декодера Dolby Unified Decoder и три бъга в плана Гугъл BigWave.
Гугъл възнамерява да приложи този метод и в плана Big Sleep — пробен AI инструмент, създаден взаимно с DeepMind. Неговата задача е да употребява изкуствен интелект за автоматизиране на търсенето на уязвимости и ускорение на разбора на евентуални закани. При това компанията акцентира, че никакви механически детайлности, PoC-код или материали, които биха могли да бъдат потребни на хакерите, няма да бъдат оповестени до приключването на периода за откриване.
Всичко това отразява по-широката наклонност в Гугъл – фокусиране върху самодейна, координирана и софтуерно напреднала модел на киберзащита, ориентирана към минимизиране на времето за реакция при произшествия и повишение на прозрачността в екосистемата на софтуера.
