Chrome Cihaza Bağlı Oturum Kimlik Bilgileriyle Çerez Hırsızlığına Karşı Mücadele Edecek
- 136
Google, çerez hırsızlığıyla mücadele etmek için tarayıcı kimlik doğrulama oturumlarını cihaza bağlayan yeni teknoloji olan Cihaza Bağlı Oturum Kimlik Bilgileri (DBSC) biçiminde Chrome'a yeni kullanıcı koruma özellikleri getiriyor.
Web Incubator Community Group (WICG) tarafından açık olarak geliştirilen ve açık bir standart haline gelmesi beklenen DBSC , kullanıcıların oturumlarını güvende tutmak için özel anahtarla kimlik doğrulamaya güveniyor.
Ziyaret edilen web siteleri tarafından oluşturulan ve cihazlarda saklanan küçük kod parçaları olan çerezler, kullanıcıların tarama deneyimini iyileştirir, ancak taşıyıcı belirteç şemaları olarak çalışır ve web hesaplarını tehlikeye atmak için kötüye kullanılabilir.
Kimlik doğrulama çerezleri oturum açıldıktan sonra oluşturulur ve çalınmaları durumunda tehdit aktörlerinin iki faktörlü kimlik doğrulamayı atlayarak kurbanların hesaplarına anında erişmesine olanak tanır.
Çerezler genellikle, web tarayıcılarının kullanıcılarını koruyamadığı, bilgi çalan kötü amaçlı yazılımlar kullanılarak toplanır ve bir kez çalındıktan sonra, kötü amaçlı yazılım tespit edilip kaldırılsa bile kullanılabilir.
DBSC ile sunucu ve tarayıcı arasındaki oturum, cihazda güvenli bir şekilde saklanan bir çift genel ve özel anahtarla ilişkilendirilir. Oturumun ömrü boyunca sunucu, özel anahtarın hala aynı cihazda olduğundan emin olmak için periyodik olarak kontrol eder.
"Bunun çerez hırsızlığı yapan kötü amaçlı yazılımların başarı oranını önemli ölçüde azaltacağını düşünüyoruz. Saldırganlar cihaz üzerinde yerel olarak hareket etmek zorunda kalacak, bu da hem anti-virüs yazılımı hem de kurumsal olarak yönetilen cihazlar için cihaz üzerindeki algılamayı ve temizlemeyi daha etkili hale getirecek" diyor Google.
DBSC, web sitelerine bu tür anahtarların ömrünü kontrol etmek için bir API ve sahiplik kanıtını kontrol etmek için protokol sağlar. Her oturumun kendine ait özel anahtarı vardır ve web sitesi, iki anahtarın aynı cihazdan olup olmadığını belirleyememelidir.
“Oturum açma sırasında API, tarayıcıya bir oturumun başladığını bildirir ve bu da anahtar oluşturmayı tetikler. Daha sonra tarayıcıya, oturum aktifken her istek yapıldığında tarayıcının belirli çerezlerin varlığını sağlaması gerektiğini bildirir. Bu çerezler mevcut değilse, DBSC, güncellenmiş çerezler için yapılandırılmış uç noktayı sorgularken ağ isteklerini tutacaktır," diye açıklıyor DBSC'nin bakımcıları.
Chrome'un masaüstü kullanıcılarının yarısı için DBSC'yi getiren Google'a göre, cihaz hakkında hiçbir anlamlı bilgi sızdırılmıyor: "Sunucuya gönderilen tek bilgi, sunucunun daha sonra anahtar sahipliğinin kanıtını onaylamak için kullandığı oturum başına genel anahtardır." .”
DBSC, bilgisayarın donanım yeteneklerine bağlı olarak Chrome'da mevcut olacak - ancak Google ayrıca tüm kullanıcılar için yazılım anahtarlarını desteklemeyi de düşünebilir - ve uygulaması, üçüncü taraf çerezlerinin aşamalı olarak kaldırılmasıyla uyumlu hale getirilecek.
İnternet devi, üçüncü taraf çerezleri ortadan kaldırıldığında DBSC'nin yeni bir izleme vektörü haline gelmemesini ve bu arada bu çerezlerin korunmaya devam etmesini sağlamak için de adımlar atıyor. Bir kullanıcı çerezleri devre dışı bıraktığında DBSC de devre dışı bırakılacaktır.
Google şu anda Chrome Beta'daki Google Hesaplarında bir DBSC prototipini deniyor. Tamamen devreye alındığında, hem tüketicilere hem de kurumsal kullanıcılara gelişmiş hesap güvenliği sağlayacak. Web siteleri için başlangıç denemeleri 2024 yılı sonuna kadar kullanıma sunulacaktır.
İnternet devi, "Ayrıca Google Workspace ve Google Cloud müşterilerimize başka bir hesap güvenliği katmanı sağlamak amacıyla bu teknolojiyi etkinleştirmek için çalışıyoruz" diye açıklıyor.