Penka Hristovska
Google har utvecklat en ny prototypfunktion för webbläsaren Chrome, som syftar till att bekämpa hackningsförsök som använder skadlig programvara för att stjäla webbläsarcookies och kapa onlinekonton.
Den nya tekniken, kallad "Device Bound Session Credentials", använder kryptering för att blockera hackare från att kapa inloggningssessioner via cookie-stöld.
Internetcookies är små textfiler som lagras på din dator av din webbläsare. De hjälper webbplatser att komma ihåg dina inställningar, som inloggningsuppgifter, så att du inte behöver ange dem igen varje gång du besöker dem. Dessa cookies blir dock en säkerhetsrisk om en hackare infekterar din dator med skadlig programvara, eftersom de enkelt kan stjäla dessa cookies för att komma åt dina onlinekonton utan att behöva ditt lösenord.
"Cookiestöld som denna händer efter inloggning, så det går förbi tvåfaktorsautentisering och alla andra inloggningskontroller av rykte", förklarar Googles mjukvaruingenjör Kristian Monsen i ett blogginlägg. "Det är också svårt att lindra via antivirusprogram eftersom de stulna cookies fortsätter att fungera även efter att skadlig programvara har upptäckts och tagits bort."
För att lösa detta problem arbetar Google på ett sätt att "binda" autentiseringscookies till användarens dator, en strategi som innebär att kryptografi med offentlig nyckel integreras med cookies. Detta innebär att närhelst en webbläsare initierar en ny inloggningssession kommer den att generera en krypteringsnyckel direkt på användarens dator. Denna nyckel används för att bekräfta att inloggningen är legitim direkt med webbplatsens server, vilket lägger till ett extra lager av säkerhet för att förhindra obehörig åtkomst.
För att säkerställa att krypteringsnycklarna är säkra planerar Google att lagra dem i en Windows PC:s Trusted Platform Module (TPM)-chip. Detta chip är specialbyggt för att skydda kryptografiska nycklar och verifiera operativsystemets integritet – och det är nu ett krav för att köra Windows 11.
En webbplats kan sedan bekräfta äktheten av en autentiseringscookie genom att använda ett API som kontrollerar legitimiteten hos krypteringsnyckeln som är kopplad till en inloggningssession, vilket säkerställer att sessionen är säker och auktoriserad.
"Detta säkerställer att sessionen fortfarande är på samma enhet, genom att upprätthålla den med regelbundna intervall som ställs in av servern," sa Monsen. "Vi tror att detta avsevärt kommer att minska framgångsfrekvensen för skadlig programvara för cookies. Angripare skulle tvingas agera lokalt på enheten, vilket gör identifiering och rensning på enheten mer effektiv, både för antivirusprogramvara och för företagshanterade enheter."
Google siktar på att göra det här projektet till en "öppen webbstandard", som förbättrar säkerheten för alla användare på webben, och planerar att ha en fullt fungerande testversion av denna teknik redo i slutet av 2024.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.safetydetectives.com/news/google-introduces-new-chrome-feature-to-combat-cookie-hijacking/
