Google jest przeciwne kradzieży ciasteczek (cookies) z przeglądarek internetowych i wykorzystywaniu ich później do rozsyłania programów typu malware. Dlatego uruchamia testowo nową funkcję w Chrome.
Google odpala DBSC
Co to jest DBSC? Nie jest to żadna jednostka specjalna, mająca tropić hakerów. Skrót odnosi się do nazwy Device Bound Session Credentials. To funkcja, która łączy pliki cookie z konkretnym urządzeniem, dzięki czemu przestępcom trudniej jest je ukraść i wykorzystać później do przejęcia konta niczego niespodziewającego się użytkownika.
Hakerzy często wykorzystują złośliwe oprogramowanie do kradzieży plików cookie z przeglądarek. Bazując na zawartych w nich informacjach, tworzą programy, które – jeśli użytkownik zainstaluje na własnym komputerze – zbierają dane uwierzytelniające. Po skompletowaniu ich haker ma już „towar”, który może sprzedać dalej.
DBSC znacznie komplikuje takie działania, bo łączy sesje uwierzytelniania z urządzeniem. Oznacza to, że skradzione „ciasteczka” są bezwartościowe. Nie pomogą w zdobyciu wrażliwych danych. Każda sesja generuje unikalną parę kluczy bezpiecznie przechowywanych z wykorzystaniem modułów TPM na urządzeniu. Haker musiałby mieć fizyczny dostęp do sprzętu, który przechowuje klucze lokalnie. To jest zwykle bardzo trudne do osiągnięcia dla przestępcy, a jeszcze częściej – po prostu nieopłacalne.
Na razie „policja ciasteczkowa” działa tylko testowo
Ochrona plików cookie dzięki DBSC pojawiła się jako opcja do włączenia w przeglądarce Google Chrome w wersji Beta. Jeśli mamy na komputerze tę przeglądarkę w tej konkretnej wersji, można ją przetestować, aktywując flagę enable-bound-session-credentials. Powinna być też dostępna we wszystkich edycjach testowych przeglądarek bazujących na Chromium.
Projekt ten rozwijany jest na licencji open source. Oznacza to, że możemy podejrzeć jego kod, pobierając pliki DBSC z GitHuba.
Google zamierza wprowadzić Device Bound Session Credentials jako standard. Jak na razie administratorzy stron internetowych mogą zgłaszać się do udziału w tym projekcie. Ich zaangażowanie i informacje zwrotne na temat skuteczności nowego rozwiązania z pewnością ucieszy twórców.
Chrome przechodzi ostatnio wiele zmian. Chyba największą był debiut próbnej wersji przeglądarki na komputery z systemem Windows i procesorami ARM. Testowa wersja beta umożliwia także włączenie opcji archiwizowania nieużywanych kart. Praktyczne!
