Google blocca il furto dei cookie legando le sessioni al dispositivo

Apr 04, 2024 Gestione dati, News, RSS

Google ha annunciato Device Bound Session Credentials (DBSC), una nuova funzionalità di sicurezza volta a contrastare il furto dei cookie delle sessioni di autenticazione.

Oggi una delle principali minacce alla sicurezza online sono i malware in grado di sottrarre i cookie di sessione che permettono agli attaccanti di accedere agli account utente compromessi. Il furto di cookie avviene dopo che l’utente ha effettuato il login, in modo da eludere l’autenticazione a due fattori e altri controlli. Mitigare questi attacchi con un antivirus non è semplice perché i cookie sono validi anche dopo che il malware è stato individuato e rimosso.

Per risolvere il problema, la funzionalità di Google lega la sessione di autenticazione al dispositivo dell’utente usando la crittografia; in questo modo, anche se un attaccante dovesse entrare in possesso dei cookie, non sarebbe in grado di usarli. L’unica via per sfruttarli sarebbe agire localmente sul dispositivo, e a quel punto la detection on-device sarebbe più efficace.

Google contrasta il furto dei cookie sfruttando il dispositivo

Quando il browser inizializza una nuova sessione di autenticazione, DBSC crea una nuova coppia di chiavi pubblica/privata che viene salvata sul dispositivo. Nel dettaglio, Chrome utilizza il chip Trusted Platform Modules (TPM) per memorizzare e proteggere la chiave privata.

DBSC permette al server di associare una sessione al dispositivo usando la chiave pubblica come complemento o rimpiazzo dei cookie e verificare la presenza della chiave privata durante tutta la durata della sessione; ciò consente di verificare a intervalli regolari che la sessione avviene sempre sullo stesso dispositivo.

Ogni sessione è caratterizzata da una coppia di chiavi unica e DBSC non consente ai siti di correlare le chiavi delle diverse sessioni allo stesso dispositivo, in modo che non ci sia tracking dell’utente. L’utente può cancellare le chiavi sul dispositivo in qualsiasi momento semplicemente cancellando i dati di navigazione dal browser.

La feature si allineerà con le direttive di Google per l’eliminazione dei cookie di terze parti, lasciando all’utente il controllo sulle preferenze. “Vogliamo evitare che il DBSC diventi un nuovo vettore di tracciamento una volta che i cookie di terze parti saranno gradualmente eliminati, garantendo al contempo che tali cookie possano essere completamente protetti” ha affermato Kristian Monsen, ingegnere del team Counter Abuse di Chrome.  “Se l’utente rinuncia completamente ai cookie, ai cookie di terze parti o ai cookie di un sito specifico, disabilita anche il DBSC”.

Diversi provider hanno già espresso il loro interesse verso la funzionalità per proteggere i propri utenti. “Stiamo collaborando con tutte le parti interessate per assicurarci di poter presentare uno standard che funzioni per diversi tipi di siti web in modo da preservare la privacy” ha spiegato Monsen.

Al momento la funzionalità è ancora in fase di completamento, ma è già disponibile da attivare nella versione 125 del browser. DBSC può essere abilitata navigando su chrome://flags/ e cercando “Device Bound Session Credentials” tra le feature attive. Essendo ancora in fase di sperimentazione, Google chiede di usarla con massima attenzione.

• autenticazione, Chrome, cookie, cookie terze parti, crittografia, Device Bound Session Credentials, Google