Google uvodi DBSC u Chrome 146 za zaštitu od krađe sesija na Windowsu
Google je učinio Device Bound Session Credentials (DBSC) javno dostupnim za Windows korisnike Chrome-a 146, kao meru protiv krađe sesionih kolačića. Funkcija kriptografski vezuje sesiju za konkretan uređaj pomoću hardverski zaštićenih ključeva, kao što je TPM na Windowsu, tako da ukradeni kolačići brzo postaju beskorisni napadaču. Google navodi da je već uočio pad zloupotreba krađe sesija, dok je podrška za macOS najavljena za neko od narednih izdanja.
Pojašnjenje
Kod krađe sesija problem je što napadaču često ne treba ni lozinka ni MFA ako već ima važeći kolačić iz browsera. Ovakav pristup menja odnos snaga tako što vrednost ukradenog tokena vezuje za sam uređaj, ali ne uklanja potrebu za zaštitom endpointa od stealer malware-a.
Preporuke
- Ažurirati Chrome na verziju 146 na Windows uređajima gde je to moguće
- Proveriti da li poslovni uređaji imaju TPM i da li bezbednosne politike dozvoljavaju korišćenje ove zaštite
- Testirati interne web aplikacije i SSO tokove kako bi se proverila kompatibilnost sa DBSC pristupom
- Ne oslanjati se samo na zaštitu sesije, već nastaviti sa zaštitom endpointa od infostealer malware-a
- Pratiti Google dokumentaciju za širu podršku i buduću integraciju sa enterprise okruženjima