Тази нова функция в Google Chrome буквално ще съсипе бизнеса на хакерите
В най-новата версия на Гугъл Chrome е добавена нова функционалност за сигурност, ориентирана към битката с кражбата на потребителски данни.
Технологията, наречена Device Bound Session Credentials (DBSC) дава обещание да затрудни доста хакерите, които желаят да откраднат бисквитките за достъп до потребителски сметки.
Бисквитките са файлове, които уебсайтовете употребяват, с цел да запомнят информация за визитите и желанията на потребителя, както и за автоматизирано влизане в системите. Проблемът се състои в това, че хакерите, употребяващи злотворен програмен продукт могат да откраднат тези бисквитки. По този метод те могат да заобикалят поръчките за многофакторно засвидетелствуване (MFA) и завладяват непознати сметки.
Удостоверенията за сесии, обвързани с устройство включват криптографско обвързване на бисквитката за засвидетелствуване с съответното устройство на потребителя. Това се реализира посредством основаване на неповторима двойка публичен/частен ключ благодарение на чип Trusted Platform Module (TPM), който не може да бъде експортиран и се съхранява по сигурен метод на устройството на потребителя. По този метод, даже и бисквитката да бъде открадната, хакерът няма да може да я употребява за достъп до сметки.
ТРМ пpeдcтaвлявa oтдeлeн xapдyepeн чип нa дъннaтa плaтĸa. Идeятa e тoй дa oбpaбoтвa вaжнa и ĸpиптиpaнa инфopмaция. Чипът имa мнoжecтвo физичecĸи мexaнизми, ĸoитo дa пpeдпaзвaт oт oпити зa aтaĸи и cъoтвeтнo дa гapaнтиpaт мaĸcимaлнa cгиpyнocт нa ĸpиптoгpaфcĸитe ĸлючoвe.
От Гугъл означават, че новата функционалност ще наруши нормалните дейности на хакерите, защото откраднатите бисквитки към този момент няма да имат стойност.
Нападателите ще би трябвало да работят локално на устройството. Това доста ще улесни откриването и премахването на злотворен програмен продукт както от антивирусния програмен продукт, по този начин и от ръководените корпоративни устройства.
В момента функционалността е в стадий на първообраз, само че към този момент е налична за тестване в основаната на Chromium версия на операционните системи Windows, Linux и macOS. За да тествате, би трябвало единствено да въведете „ chrome://flags/ “ в адресната лента и да активирате специфичния байрак „ enable-bound-session-credentials “.
DBSC работи по подобен метод, че сървърът може да стартира нова сесия с браузъра и да я свърже с обществен ключ, съхраняван на устройството на потребителя. Всяка сесия е предпазена с неповторим ключ, като се резервира поверителността на потребителя. Сървърът получава единствено обществения ключ за следваща инспекция. Технологията не разрешава на уеб страниците да наблюдават потребителя сред разнообразни сесии на едно и също устройство. Създадените ключове могат да бъдат изтрити когато и да е.
Очаква се новата функционалност за сигурност да се поддържа от към половината от всички настолни устройства на Chrome и ще бъде изцяло съгласувана с последователното унищожаване на бисквитките oт трети страни в Chrome. От Chrome обявиха, че след цялостното им въвеждане потребителите и корпоративните консуматори автоматизирано ще получат усъвършенствана сигурност за своите сметки в Гугъл.
