Борьба с кражей файлов cookie с помощью сеансов привязки устройств

Файлы cookie, имеющие решающее значение для удобства работы в сети, также подвержены риску кражи, что позволяет злоумышленникам получать доступ к учетным записям. Вредоносное ПО, похищающее файлы cookie, использует социальную инженерию для проникновения в устройства, извлекая файлы cookie для аутентификации, которые обходят двухфакторную аутентификацию и обнаружение антивирусом. Для решения этой проблемы разрабатываются учетные данные сеансов, привязанных к устройству (Device Bound Session Credentials — DBSC) как новая возможность сети, связывающая сеансы аутентификации с устройством, делая украденные файлы cookie бесполезными. Заставляя злоумышленников действовать локально, DBSC расширяет обнаружение и очистку на устройстве. DBSC использует пары открытых/закрытых ключей, надежно хранящиеся на устройстве, для установки сеансов, проверяя подтверждение владения на протяжении всего срока действия сеанса. Чтобы поддерживать актуальность сеанса и поддержку существующих решений на основе cookie, DBSC использует выделенную конечную точку для обновления cookie вне полосы. DBSC в первую очередь заботится о конфиденциальности пользователей, гарантируя отсутствие корреляции ключей из разных сеансов на одном и том же устройстве, что позволяет пользователям удалять ключи в любое время. Единственной информацией, отправляемой на сервер, является открытый ключ для сеанса, который подтверждает владение ключом. DBSC соответствует постепенному отказу от файлов cookie сторонних разработчиков, отключая их в этих сценариях. Google проводит пилотный запуск DBSC для некоторых пользователей учетных записей Google, обеспечивая повышенную безопасность. DBSC вызвал интерес у поставщиков серверов, поставщиков удостоверений и браузеров, стремящихся защитить пользователей от кражи файлов cookie. Процесс разработки открыт и совместный, с обновлениями и сроками, доступными на GitHub.