Tyler Cross
Google on keksinyt suunnitelman torjua evästevarkauksia sitomalla käyttäjien tiedot salausavaimeen.
Evästeet ovat yksinkertainen menetelmä, jota monet verkkosivustot käyttävät käyttäjätietojen seuraamiseen ja hallintaan, mutta ne voivat sisältää myös yksityisiä tietoja, joita hakkerit etsivät jatkuvasti. Vaikka evästeiden varastaminen ei anna hakkereille salasanaasi, se antaa heille mahdollisuuden liittyä istuntoihin vastoin tahtoasi ja nähdä mitä tahansa syöttämääsi.
Googlen mukaan evästeiden varastaminen on kasvava ongelma, jota pahentavat kehittyneet sosiaalisen manipuloinnin järjestelmät, joita hakkerit käyttävät evästeesi varastamiseen. Kun uhri huijataan lataamaan haittaohjelmia oletettavasti luotetusta lähteestä, hakkerit voivat varastaa evästeesi joka kerta, kun kirjaudut sisään.
"Tällainen evästevarkaus tapahtuu sisäänkirjautumisen jälkeen, joten se ohittaa kaksivaiheisen todennuksen ja kaikki muut kirjautumisaikaiset mainetarkastukset. Sitä on myös vaikea lieventää virustorjuntaohjelmistolla, koska varastetut evästeet jatkavat toimintaansa senkin jälkeen, kun haittaohjelma on havaittu ja poistettu”, Chromium-blogissa kerrotaan.
"Tämän ongelman ratkaisemiseksi prototyyppiämme uutta verkkoominaisuutta nimeltä Device Bound Session Credentials (DBSC), joka auttaa pitämään käyttäjät paremmin suojassa evästevarkauksia vastaan."
Ajatuksena on, että joka kerta kun avaat uuden selaimen, uusi julkisen/yksityisen avaimen pariliitos luodaan automaattisesti. Tämä sitoo todennusprosessin laitteeseesi, joten hakkerit tarvitsevat suoran pääsyn laitteeseesi varastaakseen evästeesi.
Jos haittaohjelmia käytettäisiin evästeiden varastamiseen, sillä ei olisi avainta, jota tarvitaan varastettujen tietojen todentamiseen ja tulkitsemiseen, joten varastaminen olisi täysin hyödytöntä. Uusi ominaisuus on saatavilla noin puolelle kaikista Chromen työpöytäkäyttäjistä, kun se on valmis. Google perusti tämän luvun keskimääräisen käyttäjän laitteiston ominaisuuksiin.
"DBSC on täysin linjassa kolmannen osapuolen evästeiden käytöstä poistamisen kanssa Chromessa."
Tämän avoimen projektin kehitystä voi seurata reaaliajassa Githubissa (GitHub – WICG/dbsc).
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.safetydetectives.com/news/google-comes-up-with-a-strategy-for-dealing-with-cookie-theft/
