Google zatvara veliku bezbednosnu rupu: Ukradeni kolačići više ne znače pristup nalozima!
Google je predstavio novu bezbednosnu funkciju u Chrome pregledaču koja ima za cilj da zaustavi jednu od najčešćih tehnika sajber napada - krađu korisničkih sesija putem infostealer malvera. Ovaj potez dolazi u trenutku kada napadi zasnovani na krađi kolačića postaju sve češći i teži za otkrivanje. Time se fokus bezbednosti sve više pomera sa lozinki na same aktivne sesije korisnika.
Nova tehnologija je osmišljena tako da čak i u slučaju krađe podataka, napadači ne mogu da preuzmu aktivne naloge. Na taj način, fokus se pomera sa zaštite lozinki na zaštitu same sesije korisnika. To predstavlja važan korak ka smanjenju zloupotrebe „tihih“ upada u naloge.
DBSC donosi vezivanje sesija
Funkcija pod nazivom Device Bound Session Credentials (DBSC) uvodi princip vezivanja sesije za fizički uređaj. To znači da se pristup nalogu više ne oslanja samo na kolačiće, već i na kriptografske ključeve koji su jedinstveni za svaki uređaj. Time se dodatno otežava korišćenje ukradenih podataka van originalnog sistema.
Ovi ključevi se čuvaju u zaštićenim hardverskim komponentama kao što su TPM na Windows sistemima ili Secure Enclave na macOS-u. Pošto se ne mogu izvući sa uređaja, ukradeni podaci gube vrednost van originalnog sistema. Upravo ova hardverska zaštita čini napade znatno manje efikasnim.
Ukradeni kolačići postaju beskorisni
U klasičnim napadima, kolačići sesije omogućavaju preuzimanje naloga bez unošenja lozinke. DBSC menja tu logiku tako što vezuje sesiju za kriptografski identitet uređaja, čineći ukradene podatke neupotrebljivim van originalnog okruženja. Na taj način se eliminiše jedna od najčešćih tehnika krađe naloga.
Čak i ako napadač dođe do kolačića, oni ne mogu biti validirani bez odgovarajućeg uređaja. Time se značajno smanjuje efekat najčešćih tipova krađe sesija u modernim napadima. U praksi, ukradeni podaci gube svoju funkcionalnu vrednost gotovo odmah.
Minimalno deljenje i veća privatnost
Pored zaštite, DBSC je dizajniran i sa fokusom na privatnost korisnika. Sistem koristi samo javni ključ po sesiji, bez otkrivanja identiteta uređaja ili omogućavanja praćenja korisnika između različitih sesija. To znači da se bezbednost povećava bez dodatnog ugrožavanja anonimnosti.
Ovakav pristup omogućava balans između bezbednosti i privatnosti, jer se smanjuje količina osetljivih podataka koji se razmenjuju između pregledača i sajtova. Na taj način se izbegava stvaranje novih vektora za praćenje ili zloupotrebu korisnika.
Otvoreni standard uz podršku
DBSC je razvijen kao otvoreni standard u saradnji sa W3C organizacijom i partnerima iz industrije, uključujući Microsoft i druge tehnološke kompanije. Cilj je bio da se obezbedi široka kompatibilnost i lakša implementacija na različitim platformama. To povećava šansu za brzu globalnu primenu ovog sistema.
Rani testovi pokazali su značajno smanjenje uspešnih krađa sesija kod zaštićenih korisnika, što je podstaklo dalje širenje funkcije u stabilne verzije Chrome pregledača. Ovi rezultati su dodatno ojačali poverenje u pristup zasnovan na vezivanju uređaja.
Postepeno uvođenje na platformama
Nova zaštita je trenutno dostupna korisnicima na Windows platformi u Chrome verziji 146, dok se proširenje na macOS i druge sisteme očekuje u narednim ažuriranjima. Google planira postepeno uvođenje kako bi se osigurala stabilnost i kompatibilnost. Time se smanjuje rizik od mogućih problema u širokoj implementaciji.
Ovim pristupom kompanija pokušava da unapredi bezbednost bez narušavanja postojećih web sistema, omogućavajući korisnicima viši nivo zaštite uz minimalne promene u načinu korišćenja pregledača. Dugoročno, ovo bi moglo postati standard u zaštiti sesija na internetu.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
BONUS VIDEO: