当前位置:首页 > 电脑快讯 > 正文

Chrome的最新功能阻止了窃取Cookie的黑客

Chrome的最新功能阻止了窃取Cookie的黑客

Cookie不仅仅是网站因为GDPR而不得不在你每次访问它们的#$%&时间上惹恼你的东西。它们是网站识别特定用户的最基本的方法之一,无论是好是坏。窃取和欺骗这些Cookie是身份盗窃攻击的流行媒介,这就是为什么最新的Chrome更新试图确保它们的安全。

正如这篇Chromium博客文章(被蜂鸣的电脑发现)所解释的那样,通过社交工程窃取用户的身份验证Cookie可以让其他人从远程位置模拟登录会话。

一个示例场景:您点击来自您的“CEO”(带有欺骗标题的钓鱼电子邮件)的链接,这将安装一个监视您的浏览器的后台进程。您可以登录到您的银行,即使使用双因素身份验证也能获得额外的安全性。该过程在登录后从您的浏览器上滑动活动的烹饪,然后其他人可以伪装成您使用该Cookie来模拟活动的登录会话。

谷歌对这个问题的解决方案是设备绑定会话凭据。该公司正在开发DBSC作为一个开源工具,希望它能成为一个广泛使用的网络标准。其基本思想是,除了识别用户的跟踪cookie外,浏览器还使用额外的数据将该会话与特定设备–您的电脑或手机–关联起来,这样它就不会轻易在另一台机器上被欺骗。

这是通过可信平台模块芯片(TPM)创建的公钥/私钥来实现的,你可能还记得从向Windows 11的重大过渡中产生的公钥/私钥。过去几年销售的大多数现代设备都有一些实现这一功能的硬件,比如谷歌在Android手机和Chromebook上大力推广的Titan芯片。通过允许安全服务器将浏览器活动绑定到TPM,它创建了一个会话和设备对,即使另一个用户设法刷到了相关的cookie,也无法复制该会话和设备对。

如果你像我一样,这可能会在你的脑海中触发隐私警报,特别是来自一家最近不得不在隐姓埋名模式下从浏览器中删除跟踪数据的公司。Chromium的博客文章接着说,DBSC系统不允许从一个会话关联到另一个会话,因为每个会话-设备配对都是唯一的。Chrome团队成员克里斯蒂安·蒙森说:“发送给服务器的唯一信息是每个会话的公钥,服务器随后用它来证明密钥拥有的证据。”

谷歌表示,其他浏览器和网络公司对这一新的安全工具感兴趣,包括微软的Edge团队和身份管理公司Okta。DBSC目前正在Chrome版本125(预测试版Chrome Dev版本)及更高版本上进行测试。

有话要说...