גוגל נקטה בפתרון לבעיה באבטחת כרום, מה שהופך את הקוקיז שנגנבו ללא יעילים

גוגל הוסיפה הגנה על גניבת קבצי cookie‑סשן ב־Chrome 146

*טכנולוגיה חדשה – Device Bound Session Credentials (DBSC) – מקשרת בצורה קריפטוגרפית את הסשנים הפעילים של המשתמשים למכשירם.*

מה השתנה
הפלטפורמה כיצד ההגנה פועלת

Windows משתמשת במודול Trusted Platform Module (TPM). שבב יוצר מפתחות ייחודיים שאינם ניתנים לייצוא. קבצי cookie‑סשן חדשים מתווספים רק לאחר אימות של Chrome בעלות המפתח הפרטי.
macOS ההגנה תתווסף באחת מהעדכונים הבאים של הדפדפן דרך Secure Enclave – דומה ל־TPM.

איך זה עובד

1. בעת יצירת סשן חדש, Chrome יוצר מפתח ציבורי/פרטי המקושר לשבב האבטחה.
2. השרת מקבל רק את המפתח הציבורי ומשתמש בו להצפנת קובץ cookie‑סשן.
3. כדי לגשת לנתונים, הלקוח צריך להוכיח בעלות על המפתח הפרטי – אפשרי רק באותו מכשיר.
4. אם התוקף גונב את הקובץ אך אין לו גישה לשבב, הסשן נהפך מיד ללא תוקף.

למה זה חשוב

* קבצי cookie‑סשן הם אסימונים לאימות המאפשרים למשתמש להיכנס לשירותים מבלי להזין סיסמה שוב.
* תוכנות זדוניות (infostealers) כמו LummaC2 קוראות את הקבצים ואת הזיכרון של הדפדפן כדי לגנוב נתונים.
* שיטות הגנה תכניות אינן תמיד יעילות – אם התוקף ניגש למחשב, הוא יכול לקבל קבצי cookie בכל רמת מורכבות.

DBSC מצמצם את החלפה הנתונים: רק המפתח הציבורי מועבר לשרת והזיהוי של המכשיר נשאר מוסתר. כל סשן מוגן במפתח ייחודי, מה שמונע מעקב אחר פעילות המשתמש בין סשנים שונים.

בדיקות ותמיכה

* גוגל בדקה גרסה מוקדמת של DBSC בשיתוף עם מספר פלטפורמות ווב (כולל Okta).
* נרשם ירידה משמעותית בגניבת סשנים.
* הפרוטוקול פותח בשיתוף עם Microsoft כסטנדרט פתוח של האינטרנט וקיבל אישור ממומחי אבטחת רשת.

איך אתרים יכולים לנצל

1. הוסיפו נקודות הרשמה ועדכון cookie‑סשן המשתמשים ב־DBSC בצד השרת שלכם.
2. זה לא ישפיע על הפронטים הקיימים – תאימות נשמרת.

הפרטיות זמינה באתר W3C, והוראות מפורטות ליישום נמצאות בתיעוד של גוגל ובמאגר GitHub.

סיכום: התכונה החדשה ב־Chrome 146 מספקת הגנה אמינה יותר נגד גניבת cookie‑סשן על ידי קישורם למכשיר החומרה, מה שהופך את האסימונים שנגנבו ללא שימושיים כמעט מיידית ומעלה את רמת הבטחון הכוללת של יישומי ווב.