Google odstranila zranitelnost v Chrome a učinila odcizené soubory cookie neúčinnými

Google přidala ochranu proti krádeži cookie‑seshů v Chrome 146

*Nová technologie – Device Bound Session Credentials (DBSC) – kryptograficky naváže aktivní sezení uživatelů na hardwarové zařízení.*

Co se změnilo
Platforma Jak funguje ochrana
Windows Používá modul Trusted Platform Module (TPM). Čip generuje unikátní klíče, které nelze exportovat. Nové cookie‑seshy jsou vydávány pouze po potvrzení Chrome vlastnictvím privátního klíče.
macOS Ochrana bude přidána v jedné z budoucích aktualizací prohlížeče prostřednictvím Secure Enclave – analog TPM.

Jak to funguje
1. Při vytváření nového sezení Chrome generuje veřejný/privátní klíč, spojený s bezpečnostním čipem.

2. Server získává pouze veřejný klíč a používá ho k šifrování cookie‑sešů.

3. Aby klient získal přístup k datům, musí prokázat vlastnictví privátního klíče – to je možné jen na stejném zařízení.

4. Pokud útočník ukradne cookie, ale nemá přístup k čipu, sezení okamžitě ztrácí platnost.

Proč je to důležité
* Cookie‑seše jsou autentizační tokeny, které umožňují uživateli vstupovat do služeb bez opakovaného zadávání hesla.

* Škodlivý software (infostylery) jako LummaC2 čte tyto soubory a paměť prohlížeče, aby ukradl data.

* Softwarové metody ochrany nejsou vždy účinné – pokud útočník získá přístup k zařízení, může získat cookie jakékoli složitosti.

DBSC minimalizuje výměnu dat: pouze veřejný klíč je odeslán serveru a identifikátor zařízení zůstává skrytý. Každé sezení je chráněno samostatným klíčem, což brání sledování aktivity uživatele mezi různými sezeními.

Testování a podpora
* Google otestovala ranou verzi DBSC společně s několika webovými platformami (včetně Okta).

* Bylo zaznamenáno výrazné snížení krádeží sešů.

* Protokol byl vyvinut ve spolupráci s Microsoftem jako otevřený webový standard a získal schválení odborníků na webovou bezpečnost.

Jak mohou weby využít
1. Přidejte body registrace a aktualizace cookie‑sešů, které používají DBSC, do svého backendu.

2. To neovlivní stávající frontend – kompatibilita zůstává zachována.

Specifikace jsou k dispozici na stránkách W3C a podrobný návod na implementaci lze nalézt v dokumentaci Google a repozitáři GitHub.

Závěr: Nová funkce Chrome 146 poskytuje spolehlivější ochranu proti krádeži cookie‑sešů, spojují je s hardwarovým zařízením uživatele. To činí ukradené tokeny téměř okamžitě nevyužitelné a zvyšuje celkovou bezpečnost webových aplikací.