Google, Windows için Chrome 146 ile Cihaz Bağlı Oturum Kimlik Bilgileri'ni tanıttı. Bu güvenlik özelliği, oturum çerezlerini bir cihazın donanımına kriptografik olarak bağlayarak, çalınan çerezlerin farklı bir makinede kullanılmasını imkansız hale getiriyor.

macOS desteği henüz açıklanmadı. Bu özellik ilk olarak 2024 yılında duyuruldu ve Microsoft ile iş birliği içinde açık bir web standardı olarak geliştirildi.

Chrome 146'da DBSC Nasıl Çalışır?

DBSC, bir kullanıcının tarayıcı oturumunu cihazın güvenlik donanımına bağlar; bu, Windows'ta Güvenilir Platform Modülü ve macOS'ta Güvenli Alan'dır. Oturum oluşturulurken, güvenlik çipi benzersiz bir genel ve özel anahtar çifti üretir.

Özel anahtar cihazdan dışarıya aktarılamadığından, kötü amaçlı yazılımlar tarafından çalınan herhangi bir oturum çerezi başka bir yerde işe yaramaz hale gelir. Kısa ömürlü oturum çerezleri yalnızca Chrome'un sunucuya karşılık gelen özel anahtara sahip olduğunu kanıtlayabildiğinde verilir. Bu kanıt olmadan, dışarıya sızan çerezler süresi dolacak ve saldırganın hedef hizmete kimlik doğrulaması için kullanılamayacaktır.

Neden Oturum Çerezleri Kötü Amaçlı Yazılımlar İçin Önemli Bir Hedefdir?

Oturum çerezleri, bir tarayıcının çevrimiçi bir hizmete erişmesine olanak tanıyan kimlik doğrulama belirteçleri olarak işlev görür ve kullanıcıdan sürekli olarak giriş yapmasını gerektirmez. Bilgi çalan LummaC2 gibi kötü amaçlı yazılımlar, bu çerezleri hedef alır çünkü giriş sürecini tamamen atlamaya olanak tanır.

Google, kötü amaçlı yazılımların bir bilgisayara erişim sağladığında, tarayıcıların kimlik doğrulama çerezlerini depoladığı yerel dosyaları ve belleği okuyabileceğini belirtmektedir. Ayrıca, tamamen yazılıma dayalı bir çözümün, işletim sistemi düzeyinde çerezlerin dışarıya sızmasını tamamen önleyemeyeceğini de vurgulamaktadır.

DBSC, bu sorunu yazılım düzeyinde değil, donanım düzeyinde ele alarak, çalınan verilerin fiziksel erişim olmadan işe yaramaz hale gelmesini sağlar.

DBSC Gizliliği, Test Süreci ve Benimseme

Her DBSC oturumu benzersiz bir anahtar üretir, bu da web sitelerinin birden fazla oturum veya aynı cihaz üzerindeki farklı sitelerdeki etkinlikleri bağlamasını engellemeye yardımcı olur. Protokol, sahipliği kanıtlamak için gereken oturum başına genel anahtarı değiş tokuş eder ve cihaz tanımlayıcılarını paylaşmaz.

Geçtiğimiz yıl boyunca, Google DBSC'nin erken bir sürümünü Okta dahil olmak üzere çeşitli web platformlarında test etti ve bu süre zarfında oturum çalınma olaylarında bir azalma gözlemledi. DBSC spesifikasyonu W3C web sitesinde yayınlandı. Web siteleri, mevcut ön uç kodunda değişiklik gerektirmeyen özel kayıt ve yenileme uç noktaları ekleyerek bunu destekleyebilir.

DBSC şu anda Windows'ta Chrome 146'da aktiftir. Google, macOS için yeni bir Chrome sürümü ile ilgili bir zaman çerçevesi veya destek planı açıklamadı.