Penka Hristovska
Google har utviklet en ny prototypefunksjon for Chrome-nettleseren, rettet mot å bekjempe hackingforsøk som bruker skadelig programvare for å stjele nettleserinformasjonskapsler og kapre nettkontoer.
Den nye teknologien, kalt «Device Bound Session Credentials», bruker kryptering for å blokkere hackere fra å kapre påloggingsøkter via informasjonskapseltyveri.
Internett-informasjonskapsler er små tekstfiler som lagres på datamaskinen din av nettleseren din. De hjelper nettsteder med å huske preferansene dine, for eksempel påloggingsdetaljer, slik at du ikke trenger å angi dem på nytt hver gang du besøker dem. Disse informasjonskapslene blir imidlertid et sikkerhetsproblem hvis en hacker infiserer datamaskinen din med skadelig programvare, da de enkelt kan stjele disse informasjonskapslene for å få tilgang til nettkontoene dine uten å trenge passordet ditt.
"Cookie-tyveri som dette skjer etter pålogging, så det omgår tofaktorautentisering og alle andre omdømmesjekker på innloggingstid," forklarer Googles programvareingeniør Kristian Monsen i et blogginnlegg. "Det er også vanskelig å redusere via antivirusprogramvare siden de stjålne informasjonskapslene fortsetter å fungere selv etter at skadelig programvare er oppdaget og fjernet."
For å løse dette problemet jobber Google med en måte å "binde" autentiseringsinformasjonskapsler til brukerens PC, en strategi som innebærer å inkludere offentlig nøkkelkryptering med informasjonskapslene. Dette betyr at hver gang en nettleser starter en ny påloggingsøkt, vil den generere en krypteringsnøkkel rett på brukerens PC. Denne nøkkelen brukes til å bekrefte at påloggingen er legitim direkte med nettstedets server, og legger til et ekstra lag med sikkerhet for å hindre uautorisert tilgang.
For å sikre at krypteringsnøklene er sikre, planlegger Google å lagre dem i en Windows-PCs Trusted Platform Module (TPM)-brikke. Denne brikken er spesialbygd for å beskytte kryptografiske nøkler og verifisere integriteten til operativsystemet – og det er nå et krav for å kjøre Windows 11.
Et nettsted kan deretter bekrefte autentisiteten til en autentiseringsinformasjonskapsel ved å bruke et API som sjekker legitimiteten til krypteringsnøkkelen knyttet til en påloggingsøkt, og sikrer at økten er sikker og autorisert.
"Dette sikrer at økten fortsatt er på samme enhet, og håndhever den med jevne intervaller angitt av serveren," sa Monsen. "Vi tror dette vil redusere suksessraten for tyveri av informasjonskapsler betydelig. Angripere vil bli tvunget til å handle lokalt på enheten, noe som gjør deteksjon og opprydding på enheten mer effektiv, både for antivirusprogramvare så vel som for bedriftsstyrte enheter.»
Google har som mål å gjøre dette prosjektet til en "åpen nettstandard", som forbedrer sikkerheten for alle brukere på nettet, og planlegger å ha en fullt operativ prøveversjon av denne teknologien klar innen utgangen av 2024.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.safetydetectives.com/news/google-introduces-new-chrome-feature-to-combat-cookie-hijacking/
