Az új Chrome megálljt parancsol a cookie-tolvajoknak

Fontos kérdés, hogy miként óvhatjuk meg személyes adatainkat az egyre fejlettebb kiberbűnözőktől. A Google friss fejlesztése most új frontot nyit ebben a harcban: a Windows rendszerekre elérhető Chrome 146-os verzióban megjelent a Device Bound Session Credentials (DBSC) funkció, amely hatékony védelmet kínál a sütitolvaj-szoftverekkel szemben. Ez a technológia a felhasználói munkamenetet összehangolja a számítógép biztonsági chipjével (Windows alatt a Trusted Platform Module, macOS-en hamarosan a Secure Enclave), így elméletileg csak az adott gépen lehet újragenerálni vagy felhasználni a session cookie-kat.

Titkos védelmi mechanizmus a hardver mögött

A módszer lényege, hogy a gép biztonsági chipje egyedi, exportálhatatlan kulcspárokat hoz létre. A szerver akkor bocsát ki új, rövid életű session cookie-t, ha a böngésző igazolja, hogy rendelkezik a privát kulccsal. Így aki sütit lop, az csak használhatatlan adatot szerez, mert a sütik önmagukban használhatatlanok: a hozzájuk tartozó kulcs nem exportálható, és másik gépen érvénytelen. A session cookie eredetileg a jelszó helyett igazol, és mindig a böngésző és a szerver között vándorol, ezért a támadók előszeretettel vadásznak rá speciális, infostealer típusú kártevőkkel, mint például a LummaC2. Ezek a rosszindulatú programok a böngésző helyi tárolójából szerzik meg a sütiket, de a DBSC gyakorlatilag lehetetlenné teszi, hogy máshol felhasználják őket.

Magánéletvédelem, együttműködés és teszteredmények

Valószínűsíthető, hogy az új megoldás nemcsak a biztonságot növeli, hanem megőrzi a felhasználók anonimitását is, hiszen minden webes munkamenethez külön titkosító kulcs tartozik. Így egy weboldal sem tudja összefűzni a felhasználó tevékenységét más oldalakon. A rendszer kevés információt cserél, és nem szivárogtat készülékazonosítókat. Egyéves, több nagy webplatformmal – köztük az Oktával – közös teszt során lényegesen kevesebb munkamenet-lopást tapasztaltak. A DBSC-protokoll fejlesztésében a Google együtt dolgozott a Microsofttal is, és az egész iparág bevonásával igyekeznek szabványosítani a rendszert.

Egyszerű átállás a biztonságosabb webért

A weboldalak fejlesztői könnyedén átállhatnak erre a hardverhez kötött munkamenet-kezelésre: ehhez csak egy kiegészítő regisztrációs és frissítő végpontot kell beállítaniuk, amely nem zavarja a már meglévő frontend működését. A technológiai leírásokat a World Wide Web Consortium (W3C) oldalán publikálták, gyakorlati útmutatót pedig a GitHubon találhatnak az érdeklődők.

2026, adrienne, www.bleepingcomputer.com alapján