Google Device Bound Session Credentials (DBSC) contro il furto dei cookie

da Livio Varriale
0 commenti 2 minuti leggi
chromium

Google sta innovando nel campo della sicurezza online con l’introduzione delle Device Bound Session Credentials (DBSC), una nuova capacità web progettata per combattere il furto di cookie migliorando la sicurezza degli utenti contro questa minaccia. I cookie, piccoli file creati dai siti web visitati, sono essenziali per un’esperienza online personalizzata ma sono anche un obiettivo appetibile per gli attaccanti.

Il problema del furto di Cookie

Il furto di cookie consente agli attaccanti di accedere agli account web delle vittime, eludendo misure di sicurezza come l’autenticazione a due fattori. Il malware di furto di cookie spesso riesce a esfiltrare tutti i cookie di autenticazione dai browser verso server remoti, consentendo agli aggressori di accedere agli account compromessi.

La soluzione DBSC

Le Device Bound Session Credentials mirano a legare le sessioni di autenticazione al dispositivo specifico, rendendo inutile l’esfiltrazione dei cookie. Questo approccio prevede che il browser crei una coppia di chiavi pubblica/privata localmente sul dispositivo, con la chiave privata conservata in modo sicuro tramite il sistema operativo per impedirne l’esportazione. Chrome utilizzerà strumenti come i Trusted Platform Modules (TPM) per la protezione delle chiavi, e si sta valutando il supporto per soluzioni isolate software.

Benefici e implicazioni

DBSC interrompe il ciclo del furto di cookie rendendo inefficace l’esfiltrazione dei dati. Questo dovrebbe ridurre significativamente il successo del malware di furto di cookie, costringendo gli attaccanti ad agire localmente sul dispositivo, rendendo più efficace il rilevamento e la pulizia da parte del software antivirus e per i dispositivi gestiti dalle aziende. Inoltre, DBSC mantiene la privacy dell’utente, in quanto non permette ai siti di correlare le chiavi tra diverse sessioni sullo stesso dispositivo, evitando così un tracciamento persistente dell’utente.

Implementazione e sviluppo

Il progetto DBSC è in fase di prototipazione e sviluppato apertamente con l’obiettivo di diventare uno standard web aperto. La sperimentazione iniziale di DBSC da parte di Google per proteggere alcuni utenti di Google Account che utilizzano Chrome Beta mira a testare l’affidabilità e la fattibilità del protocollo. L’integrazione completa di DBSC offrirà una maggiore sicurezza agli account Google degli utenti, sia consumer che aziendali, automaticamente.

Collaborazioni e Feedback

DBSC ha suscitato interesse tra vari fornitori di server, provider di identità come Okta e browser come Microsoft Edge, che cercano di proteggere i loro utenti dal furto di cookie. Google sta collaborando con tutte le parti interessate per garantire che lo standard sia efficace e rispettoso della privacy per diversi tipi di siti web.

DBSC rappresenta un passo importante verso una maggiore sicurezza online, offrendo una soluzione tecnica pratica per combattere il furto di cookie e proteggere meglio le informazioni degli utenti.

Annunci

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara