Tech.BiznesINFO.pl > Cyberbezpieczeństwo > Ważna nowość w Chrome. Chodzi o bezpieczeństwo
Maciej Olanicki
Maciej Olanicki 05.04.2024 20:23

Ważna nowość w Chrome. Chodzi o bezpieczeństwo

przeglądarki
Fot. Unsplash/PhotoMIX Company

Google opracowało ważną nowość w przeglądarce Chrome, która może przełożyć się na ochronę przed częścią cyberataków. Ciasteczka przechowujące dane wrażliwe dane o użytkowniku są odtąd znacznie lepiej chronione.

Zmiana w bezpieczeństwie Chrome

Google rozpoczęło otwarte testy mechanizmu Device Bound Session Credentials, który polega na powiązaniu ciasteczek z urządzeniem. Ciasteczka, czyli dane wykorzystywane m.in. do utrzymywania sesji czy zapisu preferencji stron, będą nieprzydatne po ich kradzieży.

A kradzież ciasteczek z przeglądarki może się skończyć bardzo poważnymi konsekwencjami. Przechwycone dane mogą być wykorzystane do odtworzenia sesji i przejęcia kontroli nad kontami użytkownika. Pozwalają także omijać weryfikację wielostopniową. Wystarczy więc, że na naszym komputerze znajdzie się złośliwe oprogramowanie wyspecjalizowane w kradzieży ciasteczek, by napastnicy uzyskali dostęp do naszych kont w serwisach internetowych.

Pierwsza przeglądarka z taką funkcją. Oferuje zupełnie nowe możliwości

Ochrona przed kradzieżą ciasteczek

Mechanizm DBSC zaimplementowany właśnie w Chrome ma im to uniemożliwiać. Dotąd bowiem ciasteczka zachowywały ważność po tym, gdy wykradło się je z jednego urządzenia i próbowało się z niego korzystać na innym. Zupełnie jak dowolny plik skopiowany z jednego komputera na drugi. Dzięki DBSC się to zmieni.

Nowa funkcja wiąże z użyciem mechanizmów kryptograficznych wiążących konkretne ciasteczko z konkretnym urządzeniem. Jeśli więc ktoś ukradnie ciasteczko z Chrome’a na naszym smartfonie czy pececie, to stanie się ono bezużyteczne na innym urządzeniu. Wykorzystano tu kryptografie klucza publicznego i prywatnego - ciasteczko musi wymienić uścisk z kluczem prywatnym na urządzeniu, by mogło zostać użyte. W innym wypadku będzie to tylko niewielki zbiór bezużytecznych zaszyfrowanych informacji.

Funkcja eksperymentalna

Na razie Device Bound Session Credentials jest dostępny jako funkcja eksperymentalna. Można jednak włączyć ją ręcznie, choć na własną odpowiedzialność.