بينكا هريستوفسكا
طورت شركة جوجل ميزة نموذجية جديدة لمتصفح كروم، تهدف إلى مكافحة محاولات القرصنة التي تستخدم البرامج الضارة لسرقة ملفات تعريف الارتباط للمتصفح واختطاف الحسابات عبر الإنترنت.
تستخدم التقنية الجديدة، المسماة "Device Bound Session Credentials"، التشفير لمنع المتسللين من اختراق جلسات تسجيل الدخول عبر سرقة ملفات تعريف الارتباط.
ملفات تعريف الارتباط على الإنترنت هي ملفات نصية صغيرة يتم تخزينها على جهاز الكمبيوتر الخاص بك بواسطة متصفح الويب الخاص بك. إنها تساعد مواقع الويب على تذكر تفضيلاتك، مثل تفاصيل تسجيل الدخول، لذلك لا يتعين عليك إعادة إدخالها في كل مرة تزورها. ومع ذلك، تصبح ملفات تعريف الارتباط هذه ثغرة أمنية إذا قام أحد المتسللين بإصابة جهاز الكمبيوتر الخاص بك ببرامج ضارة، حيث يمكنهم بسهولة سرقة ملفات تعريف الارتباط هذه للوصول إلى حساباتك عبر الإنترنت دون الحاجة إلى كلمة المرور الخاصة بك.
يوضح كريستيان مونسن، مهندس برمجيات جوجل، في منشور بالمدونة: "تحدث سرقة ملفات تعريف الارتباط مثل هذه بعد تسجيل الدخول، لذا فهي تتجاوز المصادقة الثنائية وأي عمليات فحص أخرى لسمعة وقت تسجيل الدخول". "من الصعب أيضًا التخفيف من حدة المشكلة عبر برامج مكافحة الفيروسات نظرًا لأن ملفات تعريف الارتباط المسروقة تستمر في العمل حتى بعد اكتشاف البرامج الضارة وإزالتها."
ولمعالجة هذه المشكلة، تعمل Google على إيجاد طريقة "لربط" ملفات تعريف الارتباط للمصادقة بجهاز الكمبيوتر الخاص بالمستخدم، وهي إستراتيجية تتضمن دمج تشفير المفتاح العام مع ملفات تعريف الارتباط. وهذا يعني أنه عندما يبدأ المتصفح جلسة تسجيل دخول جديدة، فإنه سيقوم بإنشاء مفتاح تشفير مباشرة على جهاز الكمبيوتر الخاص بالمستخدم. يتم استخدام هذا المفتاح للتأكد من شرعية تسجيل الدخول مباشرة مع خادم موقع الويب، مما يضيف طبقة إضافية من الأمان لإحباط الوصول غير المصرح به.
للتأكد من أن مفاتيح التشفير آمنة، تخطط Google لتخزينها داخل شريحة وحدة النظام الأساسي الموثوق به (TPM) بجهاز الكمبيوتر الذي يعمل بنظام Windows. تم تصميم هذه الشريحة خصيصًا لحماية مفاتيح التشفير والتحقق من سلامة نظام التشغيل - وهي الآن أحد متطلبات تشغيل Windows 11.
يمكن لموقع الويب بعد ذلك تأكيد صحة ملف تعريف ارتباط المصادقة باستخدام واجهة برمجة التطبيقات (API) التي تتحقق من شرعية مفتاح التشفير المرتبط بجلسة تسجيل الدخول، مما يضمن أن الجلسة آمنة ومصرح بها.
وقال مونسن: "يضمن هذا أن الجلسة لا تزال على نفس الجهاز، ويتم تنفيذها على فترات زمنية منتظمة يحددها الخادم". "نعتقد أن هذا سيقلل بشكل كبير من معدل نجاح البرامج الضارة لسرقة ملفات تعريف الارتباط. وسيضطر المهاجمون إلى التصرف محليًا على الجهاز، مما يجعل الكشف والتنظيف على الجهاز أكثر فعالية، سواء بالنسبة لبرامج مكافحة الفيروسات أو للأجهزة التي تديرها المؤسسة.
تهدف Google إلى جعل هذا المشروع "معيار ويب مفتوحًا"، مما يعزز الأمان لجميع المستخدمين عبر الويب، وتخطط لإجراء تجربة تشغيلية كاملة لهذه التكنولوجيا جاهزة بحلول نهاية عام 2024.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.safetydetectives.com/news/google-introduces-new-chrome-feature-to-combat-cookie-hijacking/
