Google отстранила уязвимостта в Chrome, като направи крадени бисквитки безполезни

Google добави защита от кража на cookie‑сеанси в Chrome 146

*Нова технология – Device Bound Session Credentials (DBSC) – криптографично привязывает активните сеанси на потребителите към хардуера на техните устройства.*

Какво е променено
Платформа Как работи защитата

Windows
Използва модул Trusted Platform Module (TPM). Чипът генерира уникални ключове, които не могат да бъдат експортирани. Новите cookie‑сеанси се издават само след потвърждение от Chrome за притежаването на частния ключ.

macOS
Защитата ще бъде добавена в едно от бъдещите обновления на браузъра чрез Secure Enclave – аналог на TPM.

Как работи
1. При създаване на нова сеанс, Chrome генерира публичен/частен ключ, привързан към сигурния чип.

2. Серверът получава само публичния ключ и го използва за криптиране на cookie‑сеанса.

3. За достъп до данните клиентът трябва да докаже притежаването на частния ключ – това е възможно само на същото устройство.

4. Ако злонамерен потребител украде cookie, но няма достъп до чипа, сеансът незабавно става невалиден.

Защо това е важно
* Cookie‑сесии са токени за автентикация, които позволяват на потребителя да влезе в услуги без повторно въвеждане на парола.

* Зловреден софтуер (инфостилери) като LummaC2 чете тези файлове и паметта на браузъра, за да украде данни.

* Програмните методи за защита не винаги са ефективни – ако злонамереният получи достъп до машината, може да вземе cookie от всякаква сложност.

DBSC минимизира обмена на данни: само публичният ключ се предава към сървъра, а идентификаторът на устройството остава скрит. Всяка сесия е защитена със собствен ключ, което затруднява проследяването на активността на потребителя между различните сеанси.

Тестване и поддръжка
* Google тествала ранна версия DBSC заедно с няколко уеб платформи (включително Okta).

* Беше наблюдавано значително намаление на кражбите на сеанси.

* Протоколът е разработен в сътрудничество с Microsoft като отворен уеб стандарт и получил одобрението на експерти по уеб сигурността.

Как сайтовете могат да използват
1. Добавете точки за регистрация и обновяване на cookie‑сеансите, които използват DBSC, към вашия бекенд.

2. Това няма да повлияе на съществуващия фронтенд – съвместимостта се запазва.

Спецификациите са достъпни в сайта на W3C, а подробното ръководство за внедряване може да се намери в документацията на Google и репозиториите на GitHub.

Резултат: Новата функция в Chrome 146 осигурява по‑надёжна защита от кражба на cookie‑сеанси, като ги свързва с хардуера на потребителя. Това прави украдените токени почти незабавно безполезни и повишава общата сигурност на уеб приложенията.