Az új Chrome megálljt parancsol a cookie-tolvajoknak

Titkos védelmi mechanizmus a hardver mögött

A módszer lényege, hogy a gép biztonsági chipje egyedi, exportálhatatlan kulcspárokat hoz létre. A szerver akkor bocsát ki új, rövid életű session cookie-t, ha a böngésző igazolja, hogy rendelkezik a privát kulccsal. Így aki sütit lop, az csak használhatatlan adatot szerez, mert a sütik önmagukban használhatatlanok: a hozzájuk tartozó kulcs nem exportálható, és másik gépen érvénytelen. A session cookie eredetileg a jelszó helyett igazol, és mindig a böngésző és a szerver között vándorol, ezért a támadók előszeretettel vadásznak rá speciális, infostealer típusú kártevőkkel, mint például a LummaC2. Ezek a rosszindulatú programok a böngésző helyi tárolójából szerzik meg a sütiket, de a DBSC gyakorlatilag lehetetlenné teszi, hogy máshol felhasználják őket.

Magánéletvédelem, együttműködés és teszteredmények

Valószínűsíthető, hogy az új megoldás nemcsak a biztonságot növeli, hanem megőrzi a felhasználók anonimitását is, hiszen minden webes munkamenethez külön titkosító kulcs tartozik. Így egy weboldal sem tudja összefűzni a felhasználó tevékenységét más oldalakon. A rendszer kevés információt cserél, és nem szivárogtat készülékazonosítókat. Egyéves, több nagy webplatformmal – köztük az Oktával – közös teszt során lényegesen kevesebb munkamenet-lopást tapasztaltak. A DBSC-protokoll fejlesztésében a Google együtt dolgozott a Microsofttal is, és az egész iparág bevonásával igyekeznek szabványosítani a rendszert.

Egyszerű átállás a biztonságosabb webért

A weboldalak fejlesztői könnyedén átállhatnak erre a hardverhez kötött munkamenet-kezelésre: ehhez csak egy kiegészítő regisztrációs és frissítő végpontot kell beállítaniuk, amely nem zavarja a már meglévő frontend működését. A technológiai leírásokat a World Wide Web Consortium (W3C) oldalán publikálták, gyakorlati útmutatót pedig a GitHubon találhatnak az érdeklődők.

2026, adrienne, www.bleepingcomputer.com alapján