Google ha introdotto le Credenziali di Sessione Collegate al Dispositivo con Chrome 146 per Windows. Questa funzionalità di sicurezza rende impossibile l'uso di cookie di sessione rubati su una macchina diversa, collegando crittograficamente i cookie di sessione all'hardware di un dispositivo.

Il supporto per macOS non è ancora stato annunciato. Questa funzionalità è stata annunciata per la prima volta nel 2024 ed è stata sviluppata come uno standard web aperto in collaborazione con Microsoft.

Come Funziona il DBSC in Chrome 146?

Il DBSC collega la sessione del browser di un utente all'hardware di sicurezza del dispositivo; questo è il Modulo di Piattaforma Sicura su Windows e il Secure Enclave su macOS. Durante la creazione della sessione, il chip di sicurezza genera una coppia di chiavi pubblica e privata unica.

Poiché la chiave privata non può essere esportata dal dispositivo, qualsiasi cookie di sessione rubato da malware non funzionerà altrove. I cookie di sessione a breve termine vengono concessi solo quando Chrome può dimostrare di possedere la chiave privata corrispondente al server. Senza questa prova, i cookie trapelati scadranno e non potranno essere utilizzati dall'attaccante per autenticarsi nel servizio target.

Perché i Cookie di Sessione Sono un Obiettivo Importante per i Malware?

I cookie di sessione fungono da token di autenticazione che consentono a un browser di accedere a un servizio online, senza richiedere all'utente di effettuare il login continuamente. Malware come LummaC2, che ruba informazioni, prende di mira questi cookie poiché consente di saltare completamente il processo di login.

Google afferma che quando i malware ottengono accesso a un computer, possono leggere i file locali e la memoria in cui i browser memorizzano i cookie di autenticazione. Inoltre, sottolinea che una soluzione completamente software non può prevenire completamente la fuoriuscita dei cookie a livello di sistema operativo.

Il DBSC affronta questo problema a livello hardware, non software, rendendo i dati rubati inutilizzabili senza accesso fisico.

Privacy del DBSC, Processo di Test e Adozione

Ogni sessione DBSC genera una chiave unica, il che aiuta a impedire ai siti web di collegare più sessioni o attività su siti diversi sullo stesso dispositivo. Il protocollo scambia la chiave pubblica necessaria per dimostrare la proprietà per ogni sessione e non condivide identificatori di dispositivo.

Nel corso dell'ultimo anno, Google ha testato una versione preliminare del DBSC su varie piattaforme web, inclusa Okta, e ha osservato una diminuzione degli incidenti di furto di sessione durante questo periodo. La specifica del DBSC è stata pubblicata sul sito web del W3C. I siti web possono supportarlo aggiungendo endpoint di registrazione e rinnovo speciali che non richiedono modifiche al codice front-end esistente.

Il DBSC è attualmente attivo su Chrome 146 per Windows. Google non ha annunciato un quadro temporale o un piano di supporto per una nuova versione di Chrome per macOS.