Aggiornamenti recenti Giugno 9th, 2026 12:26 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Infrastrutture Critiche e Geopolitica: è l’Era dell’Antifragilità
- Il gruppo criminale cinese TA4922 adesso punta anche all’Europa
- Il 78% delle aziende ha già subito o sospetta incidenti legati all’IA
- SEO poisoning e chatbot AI dirottati per un malware miner
- Kaspersky: la GenAI mette alla prova il riconoscimento facciale
Google blocca il furto dei cookie legando le sessioni al dispositivo
Google ha annunciato Device Bound Session Credentials (DBSC), una nuova funzionalità di sicurezza volta a contrastare il furto dei cookie delle sessioni di autenticazione.
Oggi una delle principali minacce alla sicurezza online sono i malware in grado di sottrarre i cookie di sessione che permettono agli attaccanti di accedere agli account utente compromessi. Il furto di cookie avviene dopo che l’utente ha effettuato il login, in modo da eludere l’autenticazione a due fattori e altri controlli. Mitigare questi attacchi con un antivirus non è semplice perché i cookie sono validi anche dopo che il malware è stato individuato e rimosso.
Per risolvere il problema, la funzionalità di Google lega la sessione di autenticazione al dispositivo dell’utente usando la crittografia; in questo modo, anche se un attaccante dovesse entrare in possesso dei cookie, non sarebbe in grado di usarli. L’unica via per sfruttarli sarebbe agire localmente sul dispositivo, e a quel punto la detection on-device sarebbe più efficace.
Pexels
Google contrasta il furto dei cookie sfruttando il dispositivo
Quando il browser inizializza una nuova sessione di autenticazione, DBSC crea una nuova coppia di chiavi pubblica/privata che viene salvata sul dispositivo. Nel dettaglio, Chrome utilizza il chip Trusted Platform Modules (TPM) per memorizzare e proteggere la chiave privata.
DBSC permette al server di associare una sessione al dispositivo usando la chiave pubblica come complemento o rimpiazzo dei cookie e verificare la presenza della chiave privata durante tutta la durata della sessione; ciò consente di verificare a intervalli regolari che la sessione avviene sempre sullo stesso dispositivo.
Ogni sessione è caratterizzata da una coppia di chiavi unica e DBSC non consente ai siti di correlare le chiavi delle diverse sessioni allo stesso dispositivo, in modo che non ci sia tracking dell’utente. L’utente può cancellare le chiavi sul dispositivo in qualsiasi momento semplicemente cancellando i dati di navigazione dal browser.
Pexels
La feature si allineerà con le direttive di Google per l’eliminazione dei cookie di terze parti, lasciando all’utente il controllo sulle preferenze. “Vogliamo evitare che il DBSC diventi un nuovo vettore di tracciamento una volta che i cookie di terze parti saranno gradualmente eliminati, garantendo al contempo che tali cookie possano essere completamente protetti” ha affermato Kristian Monsen, ingegnere del team Counter Abuse di Chrome. “Se l’utente rinuncia completamente ai cookie, ai cookie di terze parti o ai cookie di un sito specifico, disabilita anche il DBSC”.
Diversi provider hanno già espresso il loro interesse verso la funzionalità per proteggere i propri utenti. “Stiamo collaborando con tutte le parti interessate per assicurarci di poter presentare uno standard che funzioni per diversi tipi di siti web in modo da preservare la privacy” ha spiegato Monsen.
Al momento la funzionalità è ancora in fase di completamento, ma è già disponibile da attivare nella versione 125 del browser. DBSC può essere abilitata navigando su chrome://flags/ e cercando “Device Bound Session Credentials” tra le feature attive. Essendo ancora in fase di sperimentazione, Google chiede di usarla con massima attenzione.
Condividi l'articolo
- autenticazione, Chrome, cookie, cookie terze parti, crittografia, Device Bound Session Credentials, Google
Nuovi attacchi sfruttano la condivisione dei documenti per rubare le credenziali utente
Gli utenti sono preoccupati per la propria sicurezza online, ma hanno molti punti deboli
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Infrastrutture Critiche e Geopolitica: è l’Era... Il nuovo assetto geopolitico mondiale ha messo a nudo una... -
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”... -
Kaspersky: la GenAI mette alla prova il riconoscimento... Un volto reale può essere modificato dall’intelligenza... -
Kaspersky: gli agenti IA cambiano la fiducia aziendale Gli agenti di intelligenza artificiale sono ormai entrati... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Infrastrutture Critiche e Geopolitica: è l’Era... Il nuovo assetto geopolitico mondiale ha messo a nudo
-
Il gruppo criminale cinese TA4922 adesso punta anche... Un gruppo cybercriminale di lingua cinese fino a poco... -
Il 78% delle aziende ha già subito o sospetta incidenti... A leggere il nuovo “2026 Cloud Security Report”...
-
SEO poisoning e chatbot AI dirottati per un malware miner Le campagne di SEO poisoning non sono certo una novità... -
HackerOne taglia drasticamente le ricompense dei bug bounty L’epoca d’oro dei bug bounty potrebbe stare entrando in...
Ransomware: la serie
No posts found.