In un contesto in cui le minacce informatiche evolvono costantemente, Google implementa una nuova funzionalità in Chrome 146 per rafforzare la sicurezza delle sessioni web. Questo dispositivo, chiamato Device Bound Session Credentials (DBSC), mira a contrastare i tentativi di dirottamento degli account online utilizzando un approccio innovativo. Scopri come questa tecnologia promette di rendere più sicure le tue navigazioni online.
L’essenziale da ricordare
- Chrome 146 introduce le Device Bound Session Credentials per proteggere le sessioni web dal furto di cookie.
- Questa tecnologia lega crittograficamente una sessione al dispositivo di origine, rendendo i cookie rubati inutilizzabili altrove.
- DBSC segue il processo di standardizzazione del W3C e potrebbe estendersi ad altri sistemi e dispositivi in futuro.
Gli infostealer e la loro evoluzione
Negli ultimi anni, gli infostealer, questi software dannosi progettati per rubare informazioni, non si limitano più a recuperare password e dati personali. Ora attaccano i cookie di sessione presenti nei browser, permettendo così di accedere agli account senza ulteriore autenticazione. Questo metodo di aggiramento è diventato una preoccupazione importante nel panorama della sicurezza informatica.
DBSC: un nuovo approccio alla sicurezza
Con l’introduzione delle Device Bound Session Credentials, Google propone una soluzione innovativa per combattere questa minaccia. Associando crittograficamente una sessione web al dispositivo su cui è iniziata, Chrome 146 utilizza il TPM su Windows per generare una coppia di chiavi pubblica e privata. La chiave privata, cruciale per il prolungamento della sessione, rimane accessibile solo sul dispositivo di origine, impedendo così il suo utilizzo da parte di attaccanti su altri dispositivi.
Questo meccanismo non modifica l’esperienza utente durante la connessione a un sito. I server devono semplicemente adattare le loro procedure per verificare che Chrome possieda effettivamente la chiave attesa prima di rinnovare la sessione. Questa strategia limita efficacemente l’impatto dei cookie rubati, che diventano rapidamente obsoleti senza la chiave privata associata.
Un protocollo aperto e collaborativo
DBSC non si limita a Chrome e si inserisce in un approccio collaborativo con il Web Application Security Working Group del W3C. Google lavora a stretto contatto con Microsoft e altri attori per standardizzare questo protocollo. Prima del suo lancio su Windows, sono stati effettuati diversi test con partner come Okta per garantire la sua efficacia in ambienti reali.
L’obiettivo è rendere questa tecnologia accessibile ad altri sistemi, tra cui macOS, e adattarla agli ambienti aziendali, dove le soluzioni di Single Sign-On (SSO) sono comunemente utilizzate. Si prevede anche un’estensione futura ai dispositivi senza modulo hardware dedicato, ampliando così le possibilità di utilizzo di DBSC.
Prospettive future per la sicurezza delle sessioni web
Nel 2026, la sicurezza delle sessioni web continua a essere un’area di innovazione e studio. Le iniziative come le Device Bound Session Credentials riflettono l’impegno delle grandi aziende tecnologiche a rafforzare la protezione degli utenti di fronte a minacce informatiche sempre più sofisticate. Con la crescente digitalizzazione dei servizi e delle interazioni online, la sfida è garantire una sicurezza robusta mantenendo un’esperienza utente fluida. L’adozione continua di protocolli standardizzati, supportata da collaborazioni intersettoriali, giocherà un ruolo cruciale nell’evoluzione della sicurezza informatica.