Aggiornamenti recenti Gennaio 13th, 2025 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Banshee macOS sfrutta XProtect di Apple per eludere i controlli di sicurezza
- CERT-AGID 4 – 10 gennaio: Vidar protagonista con una campagna malspam
- Una campagna di phishing sfrutta Microsoft 365 per compromettere gli account PayPal
- Gli Stati Uniti cambiano opinione sulla crittografia e sulle backdoor
- Le vulnerabilità dei dispositivi Moxa mettono a rischio le reti industriali
Google blocca il furto dei cookie legando le sessioni al dispositivo
Google ha annunciato Device Bound Session Credentials (DBSC), una nuova funzionalità di sicurezza volta a contrastare il furto dei cookie delle sessioni di autenticazione.
Oggi una delle principali minacce alla sicurezza online sono i malware in grado di sottrarre i cookie di sessione che permettono agli attaccanti di accedere agli account utente compromessi. Il furto di cookie avviene dopo che l’utente ha effettuato il login, in modo da eludere l’autenticazione a due fattori e altri controlli. Mitigare questi attacchi con un antivirus non è semplice perché i cookie sono validi anche dopo che il malware è stato individuato e rimosso.
Per risolvere il problema, la funzionalità di Google lega la sessione di autenticazione al dispositivo dell’utente usando la crittografia; in questo modo, anche se un attaccante dovesse entrare in possesso dei cookie, non sarebbe in grado di usarli. L’unica via per sfruttarli sarebbe agire localmente sul dispositivo, e a quel punto la detection on-device sarebbe più efficace.
Pexels
Google contrasta il furto dei cookie sfruttando il dispositivo
Quando il browser inizializza una nuova sessione di autenticazione, DBSC crea una nuova coppia di chiavi pubblica/privata che viene salvata sul dispositivo. Nel dettaglio, Chrome utilizza il chip Trusted Platform Modules (TPM) per memorizzare e proteggere la chiave privata.
DBSC permette al server di associare una sessione al dispositivo usando la chiave pubblica come complemento o rimpiazzo dei cookie e verificare la presenza della chiave privata durante tutta la durata della sessione; ciò consente di verificare a intervalli regolari che la sessione avviene sempre sullo stesso dispositivo.
Ogni sessione è caratterizzata da una coppia di chiavi unica e DBSC non consente ai siti di correlare le chiavi delle diverse sessioni allo stesso dispositivo, in modo che non ci sia tracking dell’utente. L’utente può cancellare le chiavi sul dispositivo in qualsiasi momento semplicemente cancellando i dati di navigazione dal browser.
Pexels
La feature si allineerà con le direttive di Google per l’eliminazione dei cookie di terze parti, lasciando all’utente il controllo sulle preferenze. “Vogliamo evitare che il DBSC diventi un nuovo vettore di tracciamento una volta che i cookie di terze parti saranno gradualmente eliminati, garantendo al contempo che tali cookie possano essere completamente protetti” ha affermato Kristian Monsen, ingegnere del team Counter Abuse di Chrome. “Se l’utente rinuncia completamente ai cookie, ai cookie di terze parti o ai cookie di un sito specifico, disabilita anche il DBSC”.
Diversi provider hanno già espresso il loro interesse verso la funzionalità per proteggere i propri utenti. “Stiamo collaborando con tutte le parti interessate per assicurarci di poter presentare uno standard che funzioni per diversi tipi di siti web in modo da preservare la privacy” ha spiegato Monsen.
Al momento la funzionalità è ancora in fase di completamento, ma è già disponibile da attivare nella versione 125 del browser. DBSC può essere abilitata navigando su chrome://flags/ e cercando “Device Bound Session Credentials” tra le feature attive. Essendo ancora in fase di sperimentazione, Google chiede di usarla con massima attenzione.
Condividi l'articolo
- autenticazione, Chrome, cookie, cookie terze parti, crittografia, Device Bound Session Credentials, Google
Nuovi attacchi sfruttano la condivisione dei documenti per rubare le credenziali utente
Gli utenti sono preoccupati per la propria sicurezza online, ma hanno molti punti deboli
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Gli Stati Uniti cambiano opinione sulla crittografia e... Se finora l’FBI e il governo degli Stati Uniti ha... -
Normative di cybersecurity: non uno spauracchio, ma... Oggi le aziende italiane non solo devono affrontare nuove e... -
Crescono gli attacchi zero-day nei dispositivi edge di rete Negli ultimi anni gli attacchi zero-day nei dispositivi... -
Sempre più aziende redigono i report sugli incidenti di... Nonostante gli sforzi per redigere e consegnare i report... -
Gli hacker nord-coreani hanno rubato 1.3 miliardi di... Tempo di bilanci di fine anno anche per il mondo della...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Banshee macOS sfrutta XProtect di Apple per eludere i... I ricercatori di Check Point Research hanno studiato una... -
CERT-AGID 4 – 10 gennaio: Vidar protagonista con una... Nel corso della settimana, il CERT-AGID ha rilevato e... -
Una campagna di phishing sfrutta Microsoft 365 per... Di recente è emersa una nuova campagna di phishing che... -
Gli Stati Uniti cambiano opinione sulla crittografia e... Se finora l’FBI e il governo degli Stati Uniti ha...
-
Le vulnerabilità dei dispositivi Moxa mettono a rischio le... Lo scorso venerdì Moxa, provider di reti industriali, ha...
Ransomware: la serie
No posts found.
