泰勒克罗斯
谷歌提出了一项计划,通过将用户信息与加密密钥绑定来打击 cookie 盗窃行为。
Cookie 是许多网站用来跟踪和管理用户数据的简单方法,但它们也可能包含黑客不断探测的私人信息。虽然窃取 cookie 不会向黑客提供您的密码,但它允许他们违背您的意愿加入会话并查看您输入的任何内容。
根据 Google 的说法,cookie 盗窃是一个日益严重的问题,黑客用来窃取您的 cookie 的复杂社会工程计划使情况变得更加严重。一旦受害者被诱骗从所谓的可信来源下载恶意软件,黑客就可以在您每次登录时窃取您的 cookie。
“像这样的 Cookie 盗窃发生在登录后,因此它绕过了双因素身份验证和任何其他登录时信誉检查。通过防病毒软件来缓解也很困难,因为即使在检测到并删除恶意软件后,被盗的 cookie 仍会继续工作,”Chromium 博客上的一篇文章写道。
“为了解决这个问题,我们正在设计一种名为设备绑定会话凭证 (DBSC) 的新 Web 功能原型,该功能将有助于确保用户更安全地防止 Cookie 被盗。”
这个想法是,每次打开新浏览器时,都会自动生成新的公钥/私钥配对。这将身份验证过程与您的设备联系起来,因此黑客需要直接访问您的设备才能窃取您的 cookie。
如果恶意软件被用来窃取cookie,它就没有验证和解密被盗数据所需的密钥,因此窃取数据完全毫无用处。一旦完成,这项新功能将可供大约一半的桌面版 Chrome 用户使用。谷歌根据普通用户的硬件能力得出了这个数字。
“DBSC 将完全配合 Chrome 中第三方 cookie 的逐步淘汰。”
这个开放项目的开发可以在Github上实时观看(GitHub – WICG/dbsc).
