Google ha annunciato una nuova funzione di sicurezza per Chrome denominata 'Credenziali di Sessione Legate al Dispositivo' (Device Bound Session Credentials - DBSC), progettata per impedire ai pirati informatici di rubare e utilizzare i cookie per prendere il controllo degli account degli utenti.
I cookie sono file utilizzati dai siti web per ricordare le informazioni di navigazione e le preferenze degli utenti, facilitando l'accesso automatico a servizi o siti web. Creando un collegamento tra il processo di autenticazione e una nuova coppia di chiavi pubblica/privata generata tramite il Trusted Platform Module (TPM) del dispositivo, DBSC assicura che i cookie di autenticazione siano inutilizzabili se rubati.
Kristian Monsen, ingegnere software del team Chrome Counter Abuse di Google, ha spiegato che legando le sessioni di autenticazione al dispositivo, DBSC mira a rendere inutile il furto di cookie, dato che l'esfiltrazione di questi ultimi non avrà più valore. Ciò dovrebbe ridurre significativamente il tasso di successo del malware di furto di cookie, costringendo gli aggressori ad agire localmente sul dispositivo e migliorando l'efficacia del rilevamento e della pulizia sia per il software antivirus che per i dispositivi gestiti dall'azienda.
Sebbene DBSC sia ancora in fase prototipale, Google ha condiviso una timeline stimata secondo cui gli utenti possono testare questa funzionalità abilitando il flag dedicato "enable-bound-session-credentials" nei browser basati su Chromium per Windows, Linux e macOS.
DBSC funziona consentendo a un server di avviare una nuova sessione con il browser e associarla a una chiave pubblica memorizzata sul dispositivo tramite una API dedicata. Ogni sessione è protetta da una chiave unica per salvaguardare la privacy, con il server che riceve solo la chiave pubblica usata per verificare il possesso in seguito. Importante sottolineare che DBSC non permette ai siti di tracciare gli utenti attraverso diverse sessioni sullo stesso dispositivo, e le chiavi create possono essere eliminate in qualsiasi momento.
Questa nuova funzione di sicurezza dovrebbe essere supportata inizialmente da circa la metà di tutti i dispositivi desktop Chrome, allineandosi con la graduale eliminazione dei cookie di terze parti in Chrome. Monsen ha aggiunto: "Quando sarà completamente implementata, gli utenti consumer e aziendali beneficeranno automaticamente di una maggiore sicurezza per i loro account Google". Google sta inoltre lavorando per rendere disponibile questa tecnologia ai clienti di Google Workspace e Google Cloud, aggiungendo un ulteriore strato di sicurezza agli account.