Google боротиметься з викраденням cookie-файлів за допомогою ключів шифрування для браузера Chrome

Google працює над новою системою захисту облікових записів користувачів. Компанія шифруватиме cookie-файли користувачів, а ключ шифрування зберігатиметься на їхніх пристроях, повідомляє PCMag

Крадіжка пароля – не єдиний спосіб, як зловмисник може отримати доступ до облікового запису. Шкідливе програмне забезпечення також може викрадати файли cookie браузера, щоб перехоплювати сеанси входу в систему. Тепер Google намагається запобігти цій загрозі за допомогою нового прототипу функції для браузера Chrome.

Система називається «Прив’язані до пристрою облікові дані сеансу» (Device Bound Session Credentials) і використовуватиме шифрування, щоб не дозволити хакерам отримувати дані для входу в обліковий запис через крадіжку cookie-файлів. Мета проєкту полягає в тому, щоб він став відкритим веб-стандартом.

Інтернет-файли cookie – це, по суті, текстові файли, які  браузер використовує для запам’ятовування налаштувань на вебсайті, включаючи аутентифікацію та підтримання сеансу входу в систему активним. Проблема полягає в тому, що файли cookie можна легко викрасти, якщо шкідливе програмне забезпечення вже скомпрометувало комп’ютер жертви.

«Така крадіжка файлів cookie відбувається після входу в систему, тому вона обходить двофакторну автентифікацію та будь-які інші перевірки під час входу, – зазначив у своєму блозі інженер-програміст Google Крістіан Монсен. – Це також важко усунути за допомогою антивірусного програмного забезпечення, оскільки вкрадені файли cookie продовжують працювати навіть після того, як шкідливе програмне забезпечення виявлено і видалено».

У відповідь на це Google працює над тим, щоб прив’язати файли cookie для аутентифікації до комп’ютера користувача. Для цього компанія хоче шифрувати файли cookie, а ключ для розшифровки зберігати на цьому ж пристрої.

Для захисту ключів шифрування Google зберігатиме їх у чипі TPM комп’ютера з Windows, який спеціально розроблено для зберігання криптографічних ключів і підтвердження цілісності операційних систем. Цей же чип також став вимогою для запуску Windows 11.

Вебсайт зможе підтвердити файл cookie для автентифікації, використовуючи API для перевірки легітимності ключа шифрування для сеансу входу в систему.

Компанія планує розробляти так звану систему DBSC відкрито на GitHub як публічний проєкт. І вона вже запустила прототип DBSC як експеримент для захисту деяких користувачів облікових записів Google, які використовують бета-версію Chrome.