Aggiornamenti recenti Aprile 29th, 2024 4:47 PM
Apr 04, 2024 Marina Londei Gestione dati, News, RSS 0
Google ha annunciato Device Bound Session Credentials (DBSC), una nuova funzionalità di sicurezza volta a contrastare il furto dei cookie delle sessioni di autenticazione.
Oggi una delle principali minacce alla sicurezza online sono i malware in grado di sottrarre i cookie di sessione che permettono agli attaccanti di accedere agli account utente compromessi. Il furto di cookie avviene dopo che l’utente ha effettuato il login, in modo da eludere l’autenticazione a due fattori e altri controlli. Mitigare questi attacchi con un antivirus non è semplice perché i cookie sono validi anche dopo che il malware è stato individuato e rimosso.
Per risolvere il problema, la funzionalità di Google lega la sessione di autenticazione al dispositivo dell’utente usando la crittografia; in questo modo, anche se un attaccante dovesse entrare in possesso dei cookie, non sarebbe in grado di usarli. L’unica via per sfruttarli sarebbe agire localmente sul dispositivo, e a quel punto la detection on-device sarebbe più efficace.
Quando il browser inizializza una nuova sessione di autenticazione, DBSC crea una nuova coppia di chiavi pubblica/privata che viene salvata sul dispositivo. Nel dettaglio, Chrome utilizza il chip Trusted Platform Modules (TPM) per memorizzare e proteggere la chiave privata.
DBSC permette al server di associare una sessione al dispositivo usando la chiave pubblica come complemento o rimpiazzo dei cookie e verificare la presenza della chiave privata durante tutta la durata della sessione; ciò consente di verificare a intervalli regolari che la sessione avviene sempre sullo stesso dispositivo.
Ogni sessione è caratterizzata da una coppia di chiavi unica e DBSC non consente ai siti di correlare le chiavi delle diverse sessioni allo stesso dispositivo, in modo che non ci sia tracking dell’utente. L’utente può cancellare le chiavi sul dispositivo in qualsiasi momento semplicemente cancellando i dati di navigazione dal browser.
La feature si allineerà con le direttive di Google per l’eliminazione dei cookie di terze parti, lasciando all’utente il controllo sulle preferenze. “Vogliamo evitare che il DBSC diventi un nuovo vettore di tracciamento una volta che i cookie di terze parti saranno gradualmente eliminati, garantendo al contempo che tali cookie possano essere completamente protetti” ha affermato Kristian Monsen, ingegnere del team Counter Abuse di Chrome. “Se l’utente rinuncia completamente ai cookie, ai cookie di terze parti o ai cookie di un sito specifico, disabilita anche il DBSC”.
Diversi provider hanno già espresso il loro interesse verso la funzionalità per proteggere i propri utenti. “Stiamo collaborando con tutte le parti interessate per assicurarci di poter presentare uno standard che funzioni per diversi tipi di siti web in modo da preservare la privacy” ha spiegato Monsen.
Al momento la funzionalità è ancora in fase di completamento, ma è già disponibile da attivare nella versione 125 del browser. DBSC può essere abilitata navigando su chrome://flags/
e cercando “Device Bound Session Credentials” tra le feature attive. Essendo ancora in fase di sperimentazione, Google chiede di usarla con massima attenzione.
Apr 17, 2024 0
Mar 26, 2024 0
Mar 06, 2024 0
Mar 04, 2024 0
Apr 29, 2024 0
Apr 29, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 29, 2024 0
Lo United States Postal Service (USPS), l’agenzia...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 29, 2024 0
Nel periodo compreso tra il 20 e il 26 aprile,...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...