Google начала привязывать cookie в Chrome к конкретному устройству для защиты от хакеров
habr.comGoogle анонсировала функцию безопасности Chrome под названием «Учётные данные сеанса, привязанного к устройству» (Device Bound Session Credentials, DBSC), которая связывает файлы cookie с конкретным устройством пользователя и не позволяет хакерам красть и использовать их для взлома учётных записей.Такая мера принята, поскольку файлы cookie позволяют обходить многофакторную аутентификацию при входах в системы.Новая функция не позволяет злоумышленникам работать путём криптографической привязки cookie аутентификации к устройству.
Процесс аутентификации связан с конкретной новой парой открытых/закрытых ключей, созданной с использованием чипа доверенного платформенного модуля (TPM) устройства.Инженер-программист из команды Google по борьбе со злоупотреблениями в Chrome Кристиан Монсен отметил, что теперь злоумышленникам придётся действовать локально на устройстве.Протестировать функцию можно, перейдя на chrome://flags/ и включив специальный флаг «enable-bound-session-credentials».Каждый сеанс поддерживается уникальным ключом, при этом сервер получает только открытый ключ, который позже будет использоваться для аутентификации.