Google ha annunciato una nuova funzionalità, denominata Device Bound Session Credentials (DBSC), che offrirà una maggiore protezione contro il furto dei cookie di Chrome. L’azienda di Mountain View sfrutterà il chip TPM per associare le sessioni di autenticazione al dispositivo.
Cookie protetti dal chip TPM
I cookie di sessione o autenticazione sono utilizzati per mantenere l’accesso ad un sito e memorizzare le preferenze dell’utente. Esistono però numerosi malware che possono accedere a questi cookie, consentendo ai cybercriminali di prendere il controllo dell’account. Dato che il furto avviene dopo il login è possibile anche aggirare l’autenticazione in due fattori.
La soluzione proposta da Google si chiama Device Bound Session Credentials (DBSC) e permette di associare i cookie di autenticazione al dispositivo tramite crittografia. Il codice sorgente è stato pubblicato su GitHub con l’obiettivo di far diventare la funzionalità uno standard open.
Quando il browser inizia una nuova sessione, le API DBSC creano una coppia di chiavi. Quella pubblica viene inviata al server remoto, mentre quella privata viene conservata sul dispositivo, in particolare nel chip TPM. Anche in caso di furto dei cookie di autenticazione, il cybercriminale non può accedere all’account.
Esiste una chiave pubblica per ogni sessione, quindi il sito non può tracciare l’utente attraverso sessioni successive. La coppia di chiavi viene eliminata quando l’utente elimina i dati dei siti nelle impostazioni di Chrome. Sarà possibile anche disattivare la funzionalità DBSC. Inizialmente verrà rilasciata per circa il 50% degli utenti desktop. Attualmente è in test nella versione beta di Chrome e può essere attivata tramite flag.