Aggiornamenti recenti Ottobre 23rd, 2025 6:32 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Lazarus ha colpito alcune compagnie europee del settore della difesa
- Arriva “Zyxel Commercialisti Italia”, iniziativa per educare i professionisti alla cybersecurity
- Cyberattacchi: estorsioni e ransomware dietro la metà delle campagne malevole
- Centinaia di estensioni Chrome sfruttate in una campagna di spam
- CERT-AGID 11–17 ottobre: PagoPA, MAECI e le amministrazioni regionali tra i bersagli della settimana
Google blocca il furto dei cookie legando le sessioni al dispositivo
Google ha annunciato Device Bound Session Credentials (DBSC), una nuova funzionalità di sicurezza volta a contrastare il furto dei cookie delle sessioni di autenticazione.
Oggi una delle principali minacce alla sicurezza online sono i malware in grado di sottrarre i cookie di sessione che permettono agli attaccanti di accedere agli account utente compromessi. Il furto di cookie avviene dopo che l’utente ha effettuato il login, in modo da eludere l’autenticazione a due fattori e altri controlli. Mitigare questi attacchi con un antivirus non è semplice perché i cookie sono validi anche dopo che il malware è stato individuato e rimosso.
Per risolvere il problema, la funzionalità di Google lega la sessione di autenticazione al dispositivo dell’utente usando la crittografia; in questo modo, anche se un attaccante dovesse entrare in possesso dei cookie, non sarebbe in grado di usarli. L’unica via per sfruttarli sarebbe agire localmente sul dispositivo, e a quel punto la detection on-device sarebbe più efficace.
Pexels
Google contrasta il furto dei cookie sfruttando il dispositivo
Quando il browser inizializza una nuova sessione di autenticazione, DBSC crea una nuova coppia di chiavi pubblica/privata che viene salvata sul dispositivo. Nel dettaglio, Chrome utilizza il chip Trusted Platform Modules (TPM) per memorizzare e proteggere la chiave privata.
DBSC permette al server di associare una sessione al dispositivo usando la chiave pubblica come complemento o rimpiazzo dei cookie e verificare la presenza della chiave privata durante tutta la durata della sessione; ciò consente di verificare a intervalli regolari che la sessione avviene sempre sullo stesso dispositivo.
Ogni sessione è caratterizzata da una coppia di chiavi unica e DBSC non consente ai siti di correlare le chiavi delle diverse sessioni allo stesso dispositivo, in modo che non ci sia tracking dell’utente. L’utente può cancellare le chiavi sul dispositivo in qualsiasi momento semplicemente cancellando i dati di navigazione dal browser.
Pexels
La feature si allineerà con le direttive di Google per l’eliminazione dei cookie di terze parti, lasciando all’utente il controllo sulle preferenze. “Vogliamo evitare che il DBSC diventi un nuovo vettore di tracciamento una volta che i cookie di terze parti saranno gradualmente eliminati, garantendo al contempo che tali cookie possano essere completamente protetti” ha affermato Kristian Monsen, ingegnere del team Counter Abuse di Chrome. “Se l’utente rinuncia completamente ai cookie, ai cookie di terze parti o ai cookie di un sito specifico, disabilita anche il DBSC”.
Diversi provider hanno già espresso il loro interesse verso la funzionalità per proteggere i propri utenti. “Stiamo collaborando con tutte le parti interessate per assicurarci di poter presentare uno standard che funzioni per diversi tipi di siti web in modo da preservare la privacy” ha spiegato Monsen.
Al momento la funzionalità è ancora in fase di completamento, ma è già disponibile da attivare nella versione 125 del browser. DBSC può essere abilitata navigando su chrome://flags/ e cercando “Device Bound Session Credentials” tra le feature attive. Essendo ancora in fase di sperimentazione, Google chiede di usarla con massima attenzione.
Condividi l'articolo
- autenticazione, Chrome, cookie, cookie terze parti, crittografia, Device Bound Session Credentials, Google
Nuovi attacchi sfruttano la condivisione dei documenti per rubare le credenziali utente
Gli utenti sono preoccupati per la propria sicurezza online, ma hanno molti punti deboli
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cyberattacchi: estorsioni e ransomware dietro la metà... Le campagne di estorsione e i ransomware continuano a... -
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre... -
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo ha... -
La complessità delle password non è così importante. Lo... Aumentare la complessità delle password, richiedendo... -
Ricerca FireMon: il 60% dei firewall non supera i controlli... Secondo l’ultima ricerca di FireMon, azienda di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Lazarus ha colpito alcune compagnie europee del settore... Una recente analisi di ESET riporta che il gruppo... -
Arriva “Zyxel Commercialisti Italia”,... Zyxel Networks ha presentato “Zyxel Commercialisti... -
Cyberattacchi: estorsioni e ransomware dietro la metà... Le campagne di estorsione e i ransomware continuano a...
-
Centinaia di estensioni Chrome sfruttate in una campagna di... Il Threat Research Team della compagnia di sicurezza... -
CERT-AGID 11–17 ottobre: PagoPA, MAECI e le... Nel periodo compreso tra l’11 e il 17 ottobre, il...
Ransomware: la serie
No posts found.