Google Chrome introduce una nuova barriera contro il furto delle sessioni: la protezione è ora in distribuzione per tutti gli utenti. In pratica, questa novità rende molto più difficile per un criminale informatico riutilizzare cookie rubati per entrare in un account, anche quando sono attivi sistemi come l’autenticazione a più fattori. Se usi Chrome, la misura migliore è semplice: mantieni il browser aggiornato e, se gestisci account aziendali, verifica che le protezioni di sicurezza siano correttamente abilitate.
Cosa cambia per gli utenti
La funzione si chiama Chrome Device Bound Session Credentials e serve a collegare in modo sicuro una sessione al dispositivo da cui è stata avviata. Questo significa che un cookie di sessione non basta più da solo per accedere a un account da un altro computer o da un ambiente diverso.
Per gli utenti comuni, il vantaggio principale è questo: anche se un cookie viene sottratto, diventa molto meno utile all’attaccante. Il sistema aggiunge quindi un livello di protezione importante contro i tentativi di furto di sessione e di accesso non autorizzato agli account.
Perché questa protezione è importante
I cookie di sessione sono piccoli dati che i siti web usano per ricordare che un utente ha già effettuato l’accesso. Proprio per questo sono un bersaglio prezioso: se un aggressore riesce a copiarli, può spesso aggirare nuove richieste di login e, in alcuni casi, persino superare la protezione MFA.
La nuova protezione di Chrome nasce per ridurre questo rischio alla radice. Invece di limitarsi a rilevare il problema dopo che è successo, il sistema cerca di impedire che un cookie rubato possa essere riutilizzato con successo.
Come funziona in modo semplice
Il meccanismo collega la sessione a elementi hardware del dispositivo, come il chip di sicurezza del computer. Su Windows, questo può coinvolgere il Trusted Platform Module (TPM); su macOS, un ruolo simile è svolto dal Secure Enclave.
La logica è la seguente:
- il dispositivo genera chiavi crittografiche uniche;
- queste chiavi restano protette all’interno dell’hardware;
- la sessione del browser viene legata a quelle chiavi;
- un cookie copiato altrove non può essere usato liberamente.
In altre parole, il cookie non è più sufficiente da solo: serve anche il dispositivo giusto.
Chi riceve la novità
La distribuzione riguarda ora tutti i clienti Google Workspace, gli abbonati Workspace Individual e anche gli utenti con account Google personali. Per i clienti Google Workspace, la funzione viene abilitata per impostazione predefinita durante il rollout e gli amministratori non possono disattivarla.
Questo dettaglio è rilevante per le aziende, perché riduce il rischio di configurazioni deboli o disattivazioni involontarie di una difesa progettata per proteggere gli account dopo il login.
Quale problema cerca di risolvere
Negli ultimi anni gli aggressori hanno cercato diversi modi per abusare dei cookie sottratti. In alcuni casi sono stati usati endpoint OAuth non documentati per generare nuovi cookie di autenticazione dopo la scadenza di quelli rubati. In altri, operazioni di malware specializzato nel furto di informazioni hanno sostenuto di poter recuperare o riutilizzare cookie ormai scaduti per rientrare negli account delle vittime.
La nuova protezione di Chrome mira proprio a rendere inefficaci questi metodi, perché un cookie sottratto non basta più se non è accompagnato dalla chiave crittografica associata al dispositivo originale.
Cosa significa per la sicurezza quotidiana
Per chi usa il browser ogni giorno, il cambiamento è soprattutto pratico: il furto di una sessione diventa molto meno redditizio per un attaccante. Questo non elimina tutti i rischi informatici, ma riduce in modo concreto uno dei percorsi più comuni verso il furto d’identità e il controllo degli account.
Resta comunque importante mantenere abitudini di sicurezza solide:
- aggiornare Chrome regolarmente;
- rimuovere eventuale malware dal dispositivo;
- usare l’autenticazione a più fattori;
- attivare modalità di protezione avanzata contro phishing e malware quando disponibili.
Queste misure, insieme alla nuova protezione della sessione, offrono una difesa più completa contro i tentativi di compromissione.
Impatto per aziende e amministratori
Per le organizzazioni, questa novità ha un valore particolare perché rafforza la sicurezza degli account anche dopo l’accesso iniziale. In molti scenari reali, infatti, la difesa non fallisce al momento del login ma dopo, quando un malware o un furto di dati tenta di sfruttare una sessione già aperta.
Il fatto che la protezione sia abilitata automaticamente per gli utenti Workspace significa che le aziende ottengono un miglioramento immediato senza dover intervenire manualmente su ogni postazione. Allo stesso tempo, questo riduce la superficie di errore amministrativo e rende più omogenea la protezione tra gli utenti.
Perché il legame al dispositivo è efficace
Il punto forte di questa soluzione è che separa il valore del cookie dal suo semplice possesso. Un cookie copiato da solo può essere pericoloso; un cookie legato a una specifica piattaforma hardware, invece, perde gran parte della sua utilità se viene spostato altrove.
Questo approccio è particolarmente utile contro:
- malware che ruba dati dal browser;
- attacchi che copiano sessioni già attive;
- tentativi di accesso che cercano di aggirare MFA usando sessioni valide;
- riuso di credenziali e cookie dopo la loro compromissione.
Cosa fare adesso
Se sei un utente singolo, la cosa più importante è verificare che Chrome sia aggiornato e continuare a usare buone pratiche di sicurezza.
Se gestisci account aziendali, controlla che:
- i dispositivi siano protetti da software malevolo;
- le policy di sicurezza del browser siano coerenti;
- gli utenti usino l’autenticazione a più fattori;
- siano attive le protezioni aggiuntive contro phishing e download dannosi.
Questa combinazione riduce il rischio che un cookie sottratto venga trasformato in un accesso reale all’account.
Technical Deep Dive
Chrome Device Bound Session Credentials (DBSC) introduce una forma di session binding che associa le credenziali di sessione a un dispositivo specifico tramite materiale crittografico generato e conservato dall’hardware di sicurezza locale. Il principio non è solo quello di cifrare i dati, ma di rendere il token di sessione non trasferibile in modo utile fuori dal contesto originario del dispositivo.
Dal punto di vista architetturale, la protezione si appoggia su componenti hardware come TPM su Windows e Secure Enclave su macOS, che possono generare e custodire chiavi private non esportabili. Il browser utilizza queste chiavi per creare una relazione crittografica tra il client e la sessione del servizio, così che l’autenticazione possa essere verificata solo da quel dispositivo autorizzato.
Questo approccio è diverso da molte difese tradizionali, che rilevano l’abuso dopo che il cookie è già stato sottratto. DBSC invece sposta il controllo sul momento dell’uso del cookie: se il materiale di sessione viene esfiltrato, ma manca la chiave hardware associata, il token non è sufficiente per completare l’accesso. In termini pratici, questo riduce l’efficacia di:
- infostealer che estraggono cookie dai profili browser;
- replay di sessione da host remoti;
- riuso di token in ambienti dove l’MFA sarebbe altrimenti aggirabile;
- catene d’attacco che sfruttano cookie ancora validi o rinnovabili.
Per le implementazioni enterprise, il valore aggiunto è duplice: da un lato si alza il costo operativo dell’attacco, dall’altro si migliora la resilienza contro l’abuso post-compromissione, uno dei problemi più difficili da gestire con i soli controlli perimetrali. DBSC non sostituisce MFA, EDR o politiche anti-phishing, ma le rende più efficaci impedendo che una sessione già compromessa diventi automaticamente un accesso persistente.
