Очередная версия браузера Google Chrome получает новую опцию безопасности, призванную защитить пользователей от кражи их аккаунтов. Технология под названием Device Bound Session Credentials (DBSC) должна сделать бесполезной кражу файлов куки, посредством которых можно получать доступ к чужим учётным записям.
Веб-сайты применяют куки для запоминания информации о пользователях, такой как настройки на сайте, и автоматического входа в аккаунт. Вредоносные программы могут красть эти файлы, чтобы обходить многофакторную аутентификацию и получать доступ к чужим аккаунтам.
DBSC представляет собой криптографическую привязку аутентификации посредством куки к определённому устройству. При помощи чипа Trusted Platform Module (TPM) создаётся уникальная пара закрытого и открытого ключей, которую нельзя экспортировать и которая надёжно хранится на устройстве. Даже если украсть куки, это не позволит получить доступ к учётной записи.
Благодаря DBSC сервер способен начать новую сессию с браузером и связать её публичным ключом с устройством пользователя. Каждая сессия имеет защиту уникальным ключом для сохранения пользовательской конфиденциальности. Сервер получает лишь публичный ключ для проверки. Созданные ключи всегда можно удалить.
Сейчас эта функциональность находится на этапе разработки и тестируется в Chromium на платформах Windows, Linux и macOS. Для участия в тестировании необходимо ввести в адресной строке «chrome://flags/» и активировать флаг «enable-bound-session-credentials».