Google usunęła lukę w Chrome, sprawiając, że skradzione ciasteczka stają się nieefektywne

Google dodała ochronę przed kradzieżą sesji cookie w Chrome 146

*Nowa technologia – Device Bound Session Credentials (DBSC) – kryptograficznie wiąże aktywne sesje użytkowników z sprzętem ich urządzeń.*

Co się zmieniło
PlatformaJak działa ochronaWindowsUżywa modułu Trusted Platform Module (TPM). Chip generuje unikalne klucze, które nie można eksportować. Nowe cookie‑sesje są wydawane tylko po potwierdzeniu Chrome posiadania prywatnego klucza.macOSOchrona zostanie dodana w jednej z przyszłych aktualizacji przeglądarki poprzez Secure Enclave – analog TPM.

Jak to działa
1. Przy tworzeniu nowej sesji Chrome generuje parę kluczy publiczny/prywatny, powiązaną z chipem bezpieczeństwa.

2. Serwer otrzymuje tylko klucz publiczny i używa go do szyfrowania cookie‑sesji.

3. Aby uzyskać dostęp do danych klient musi udowodnić posiadanie prywatnego klucza – jest to możliwe tylko na tym samym urządzeniu.

4. Jeśli atakujący ukradnie cookie, ale nie ma dostępu do chipa, sesja natychmiast staje się nieważna.

Dlaczego to ważne
* Cookie sesyjne – tokeny uwierzytelniające, które pozwalają użytkownikowi logować się do serwisów bez ponownego wpisywania hasła.

* Złośliwe oprogramowanie (infostylery) takie jak LummaC2 czyta te pliki i pamięć przeglądarki, aby ukraść dane.

* Metody programowe ochrony nie zawsze są skuteczne – jeśli atakujący uzyska dostęp do maszyny, może zdobyć cookie dowolnej złożoności.

DBSC minimalizuje wymianę danych: tylko klucz publiczny jest przekazywany serwerowi, a identyfikator urządzenia pozostaje ukryty. Każda sesja jest chroniona oddzielnym kluczem, co uniemożliwia śledzenie aktywności użytkownika pomiędzy różnymi sesjami.

Testowanie i wsparcie
* Google przetestowała wczesną wersję DBSC we współpracy z kilkoma platformami internetowymi (w tym Okta).

* Zauważono znaczące zmniejszenie kradzieży sesji.

* Protokół został opracowany we współpracy z Microsoftem jako otwarty standard internetowy i uzyskał akceptację ekspertów ds. bezpieczeństwa sieciowego.

Jak strony mogą skorzystać
1. Dodaj punkty rejestracji i aktualizacji cookie sesyjnych, które wykorzystują DBSC, do swojego backendu.

2. Nie wpłynie to na istniejący frontend – kompatybilność pozostaje zachowana.

Specyfikacje są dostępne na stronie W3C, a szczegółowy przewodnik wdrożeniowy można znaleźć w dokumentacji Google i repozytorium GitHub.

Wniosek: Nowa funkcja Chrome 146 zapewnia bardziej niezawodną ochronę przed kradzieżą sesji cookie, wiążąc je z sprzętem użytkownika. Dzięki temu skradzione tokeny stają się bezużyteczne niemal natychmiastowo i zwiększa ogólne bezpieczeństwo aplikacji internetowych.