펜카 흐리스토프스카
Google은 악성 코드를 사용하여 브라우저 쿠키를 훔치고 온라인 계정을 가로채는 해킹 시도에 맞서기 위해 Chrome 브라우저를 위한 새로운 프로토타입 기능을 개발했습니다.
"Device Bound Session Credentials"라는 새로운 기술은 암호화를 사용하여 해커가 쿠키 도용을 통해 로그인 세션을 하이재킹하는 것을 차단합니다.
인터넷 쿠키는 귀하의 웹 브라우저에 의해 귀하의 컴퓨터에 저장되는 작은 텍스트 파일입니다. 이는 웹사이트가 로그인 정보와 같은 귀하의 기본 설정을 기억하는 데 도움이 되므로 방문할 때마다 다시 입력할 필요가 없습니다. 그러나 이러한 쿠키는 해커가 귀하의 컴퓨터를 맬웨어로 감염시키는 경우 보안 취약점이 됩니다. 왜냐하면 이러한 쿠키를 쉽게 훔쳐 귀하의 비밀번호 없이 귀하의 온라인 계정에 액세스할 수 있기 때문입니다.
Google 소프트웨어 엔지니어 Kristian Monsen은 블로그 게시물에서 “이와 같은 쿠키 도난은 로그인 후에 발생하므로 이중 인증 및 기타 로그인 시 평판 확인을 우회합니다.”라고 설명합니다. “맬웨어가 감지되어 제거된 후에도 도난당한 쿠키가 계속 작동하기 때문에 바이러스 백신 소프트웨어를 통해 완화하는 것도 어렵습니다.”
이 문제를 해결하기 위해 Google은 공개 키 암호화를 쿠키와 통합하는 전략인 인증 쿠키를 사용자의 PC에 "바인딩"하는 방법을 연구하고 있습니다. 이는 브라우저가 새로운 로그인 세션을 시작할 때마다 사용자 PC에서 바로 암호화 키를 생성한다는 의미입니다. 이 키는 로그인이 웹 사이트 서버에서 직접 적법한지 확인하는 데 사용되며, 무단 액세스를 방지하기 위해 추가 보안 계층을 추가합니다.
암호화 키의 보안을 보장하기 위해 Google은 이를 Windows PC의 TPM(신뢰할 수 있는 플랫폼 모듈) 칩 내에 저장할 계획입니다. 이 칩은 암호화 키를 보호하고 운영 체제의 무결성을 확인하기 위해 특별히 제작되었으며 이제 Windows 11을 실행하는 데 필요합니다.
그런 다음 웹사이트에서는 로그인 세션과 관련된 암호화 키의 적법성을 확인하는 API를 사용하여 인증 쿠키의 진위 여부를 확인하고 세션이 안전하고 승인되었는지 확인할 수 있습니다.
Monsen은 “이렇게 하면 세션이 여전히 동일한 장치에 유지되어 서버에서 설정한 정기적인 간격으로 세션이 적용됩니다.”라고 말했습니다. “우리는 이것이 쿠키 도난 악성 코드의 성공률을 크게 감소시킬 것이라고 생각합니다. 공격자는 장치에서 로컬로 행동해야 하므로 바이러스 백신 소프트웨어는 물론 기업 관리 장치 모두에 대해 장치 내 탐지 및 정리가 더 효과적으로 이루어집니다.”
Google은 이 프로젝트를 '개방형 웹 표준'으로 만들어 웹 전반의 모든 사용자에 대한 보안을 강화하는 것을 목표로 하며, 2024년 말까지 이 기술의 완전한 운영 시험을 준비할 계획입니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.safetydetectives.com/news/google-introduces-new-chrome-feature-to-combat-cookie-hijacking/
