Google je uveo novu bezbjednosnu funkciju u Chrome koja ima za cilj da zaustavi jednu od najčešćih tehnika savremenih napada — krađu korisničkih sesija putem infostealer malvera.
Funkcija pod nazivom Device Bound Session Credentials (DBSC) postala je javno dostupna u Chrome verziji 146, dok je Chrome 147 donio dodatne bezbjednosne zakrpe.
DBSC je osmišljen da spreči napadače da zloupotrebe ukradene kolačiće sesije, koji se često koriste za preuzimanje naloga bez potrebe za lozinkom. Umjesto toga, sistem vezuje sesiju za konkretan uređaj, koristeći jedinstveni par kriptografskih ključeva koji se generiše i čuva u hardverski zaštićenim modulima, poput Trusted Platform Module (TPM) na Windowsu ili Secure Enclave na macOS-u.
Pošto ovi ključevi ne mogu da se izvezu sa uređaja, čak i ako napadači uspiju da ukradu kolačiće, oni brzo postaju neupotrebljivi.
Nova funkcija omogućava sajtovima da implementiraju ovakav vid zaštite, dok Chrome automatski upravlja kriptografijom i rotacijom kolačića. Time se zadržava kompatibilnost sa postojećim sistemima, bez potrebe za potpunim prelaskom na nove mehanizme autentifikacije.
DBSC takođe minimizira količinu podataka koji se dijele, koristeći samo javni ključ po sesiji, bez otkrivanja identifikatora uređaja ili omogućavanja praćenja korisnika.
Ovaj protokol razvijen je kao otvoreni standard u saradnji sa organizacijom W3C i kompanijama poput Microsofta, uz doprinos industrijskih partnera kao što je Okta.
Nakon eksperimentisanja sa ranom verzijom ovog protokola 2025. godine, Google je primijetio "značajno smanjenje krađe sesija" za sesije zaštićene DBSC-om.
Funkcija je trenutno dostupna korisnicima na Windowsu u Chrome 146, dok se podrška za macOS očekuje u narednim verzijama pregledača.
(Informacija/Mondo)