A Google megszüntette a sebezhetőséget a Chrome-ban, és így a lopott sütik hatástalanok lettek.

A Google a Chrome 146-ben bevezetett védelmet a cookie‑session lopás ellen

*Az új technológia – Device Bound Session Credentials (DBSC) – kriptográfiai módon kötődik a felhasználók aktív munkameneteit az eszközeik hardveréhez.*

Mi változott
PlatformMűködés a védelemWindowsHasználja a Trusted Platform Module (TPM) modult. A chipp egyedi kulcsokat generál, amelyeket nem lehet exportálni. Az új cookie‑session csak a Chrome privát kulcs birtoklásának megerősítése után kerül kiadásra.macOSA védelem a jövőbeli frissítésekben kerül hozzáadása a Secure Enclave – TPM analóg.

Hogyan működik
1. Új session létrehozásakor a Chrome egy publikus/privát kulcsot generál, amely a biztonsági chiphez van kötve.
2. A szerver csak a publikus kulcsot kapja meg és használja arra, hogy titkosítsa a cookie‑session-t.
3. Az adatok eléréséhez a kliensnek bizonyítania kell a privát kulcs birtoklását – ez csak ugyanazon az eszközön lehetséges.
4. Ha valaki ellopja a cookie-t, de nem fér hozzá a chipphez, a session azonnal érvénytelen lesz.

Miért fontos
* A session cookie-k hitelesítési tokenek, amelyek lehetővé teszik a felhasználó számára, hogy bejelentkezzen szolgáltatásokba újra és újra nem kell megadni jelszót.
* Rosszindulatú szoftverek (infostilerek) mint a LummaC2 olvassák ezeket a fájlokat és a böngésző memóriáját, hogy adatokat lopjanak.
* A programozott védelmi módszerek nem mindig hatékonyak – ha valaki hozzáfér a géphez, akkor bármilyen nehézségű cookie-t megszerezhet.
DBSC minimalizálja az adatok cseréjét: csak a publikus kulcs kerül átadásra a szervernek, míg az eszközazonosító rejtve marad. Minden session egyedi kulccsal van védve, ami megakadályozza a felhasználó tevékenységének nyomon követését különböző session-ok között.

Tesztelés és támogatás
* A Google tesztelte az DBSC korai verzióját több webplatformmal együtt (beleértve az Okta-t).
* Jelentős csökkenést rögzítettek a session lopásokban.
* A protokollt Microsoft-tal együtt fejlesztették nyílt webstandardként, és a webbiztonsági szakértők jóváhagyták.

Hogyan használhatják a weboldalak
1. Adja hozzá a regisztrációs és frissítési pontokat a session cookie-khoz, amelyek DBSC-t használnak, a saját backendjéhez.
2. Ez nem fog hatással lenni a meglévő frontendre – a kompatibilitás megmarad.

A specifikációk elérhetők a W3C weboldalán, és részletes bevezetési útmutatót találhat a Google dokumentációjában és a GitHub repozitóriumban.

Összegzés: A Chrome 146 új funkciója megbízhatóbb védelmet nyújt a cookie‑session lopás ellen azáltal, hogy azokat a felhasználó hardveréhez köti. Ez teszi a lopott tokeneket szinte azonnal haszontalanná és növeli a webalkalmazások általános biztonságát.