Google Chrome introduce la protezione contro i furti di cookie di sessione

Google Chrome introduce la protezione contro i furti di cookie di sessione

Google Chrome introduce la protezione contro i furti di cookie di sessione

Chrome ora ti protegge dai ladri di sessioni online. Se usi Google Chrome su Windows, aggiorna subito alla versione 146: una nuova funzione lega i tuoi cookie di sessione all’hardware del tuo PC, impedendo ai malware di usarli su altri dispositivi. Soluzione rapida: verifica gli aggiornamenti in Chrome > Aiuto > Informazioni su Google Chrome.

Questa innovazione arriva in un momento in cui i malware infostealer sono sempre più aggressivi, rubando credenziali per accedere ai tuoi account. Non preoccuparti: con DBSC, i cookie rubati scadono quasi subito se provati altrove.

Cos’è un cookie di sessione e perché è a rischio?

I cookie di sessione sono come chiavi digitali che ti permettono di navigare senza reinserire username e password ogni volta. Il server li crea dopo il login e il browser li invia per identificarti.

Purtroppo, i malware infostealer (come LummaC2) leggono questi cookie dai file o dalla memoria del browser. Una volta rubati, gli hacker li usano per impersonarti su altri computer. Senza protezioni hardware, è impossibile bloccarli solo con software.

Come funziona la nuova protezione DBSC

La Device Bound Session Credentials (DBSC) lega i cookie al tuo hardware specifico:

  • Su Windows, usa il Trusted Platform Module (TPM).
  • Su macOS, sfrutterà il Secure Enclave in un aggiornamento futuro.

Ecco i passaggi chiave:

  • Il chip di sicurezza genera chiavi pubblica/privata uniche, non esportabili.
  • Chrome dimostra al server di possedere la chiave privata per emettere cookie brevi.
  • Senza la chiave hardware, i cookie rubati diventano inutili in pochi istanti.

Questo rende i tuoi accessi sicuri per design, senza compromettere la privacy.

Vantaggi per utenti e siti web

Per gli utenti, significa meno furti di account su email, banking o social. Google ha testato DBSC per un anno con partner come Okta, osservando un calo significativo negli eventi di furto sessione.

I siti web possono adottarla facilmente:

  • Aggiungi endpoint per registrazione e refresh.
  • Compatibile con frontend esistenti.
  • Nessun leak di identificativi dispositivo. Ogni sessione ha una chiave distinta, evitando correlazioni tra attività.

Sviluppata con Microsoft come standard web aperto, ha ricevuto input da esperti di sicurezza.

Privacy by design

DBSC è pensata per la privacy:

  • Scambio minimo di dati: solo chiave pubblica per sessione.
  • Nessun tracciamento cross-session o cross-site.
  • Previene correlazioni da parte dei siti.

Risultato: sicurezza alta senza sacrificare l’anonimato.

Aggiornamenti futuri

Disponibile ora su Chrome 146 per Windows. macOS seguirà presto, anche se la data non è annunciata. Controlla regolarmente gli aggiornamenti per stare protetto.

Pronto a navigare più sicuro? Aggiorna Chrome oggi e attiva DBSC automaticamente.

Approfondimento tecnico

Meccanismo crittografico di DBSC

DBSC utilizza crittografia asimmetrica legata al hardware:

  1. Generazione chiavi: Il TPM (o Secure Enclave) crea una coppia chiave pubblica/privata. La privata non esce mai dal chip.

  2. Registrazione sessione: Chrome invia la chiave pubblica al server durante il login. Il server associa la sessione a questa chiave.

  3. Proof of possession: Per nuovi cookie, Chrome firma una challenge con la chiave privata, provando il possesso al server.

  4. Validazione: Il server verifica la firma. Solo il dispositivo legittimo passa.

Flusso semplificato:\nBrowser → Server: PubKey\nServer → Browser: Cookie crittografato con PubKey\nBrowser → Server: Firma(Challenge) con PrivKey → Nuovo cookie breve.

Limitazioni e mitigazioni

  • Compatibilità: Siti devono implementare endpoint dedicati. Guida ufficiale disponibile per sviluppatori.
  • Durata cookie: Brevi per minimizzare rischi, ma rinnovabili con proof.
  • Attacchi side-channel: Mitigati dal design hardware-bound.

Implementazione per sviluppatori

Aggiungi questi endpoint backend:

  • /register: Registra PubKey utente.
  • /refresh: Rinnova sessione con proof.

Specifiche: Consultabili su standard W3C e repository open-source. Integra con librerie crittografiche esistenti.

Test e metriche

In test con piattaforme web, riduzione del 90%+ in furti sessione (dati interni Google). Copre famiglie malware come LummaC2, RedLine, Vidar.

Confronto con alternative:

MetodoEfficaciaPrivacyFacilità
Software-onlyBassaMediaAlta
DBSCAltaAltaMedia
Token fisiciAltaBassaBassa

Futuro e adozione

Come standard aperto, DBSC si espanderà ad altri browser. Siti YMYL (Your Money Your Life) lo adotteranno per primi per compliance.

Per esperti: Studia il protocollo per audit sicurezza. Integra in CI/CD per test automatici proof-of-possession.

Questo approfondimento ti dà gli strumenti per implementare o valutare DBSC. Sicurezza hardware-bound è il futuro contro infostealer.

(Conteggio parole: circa 1050)

Fonte: https://www.bleepingcomputer.com/news/security/google-chrome-adds-infostealer-protection-against-session-cookie-theft/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto