Воруйте на здоровье: Google сделала украденные сессии Chrome бесполезными за пару минут
Google включила в стабильную версию Chrome 146 для Windows технологию Device Bound Session Credentials (DBSC). Это механизм криптографически закрепляет активный сеанс пользователя за конкретным устройством и если вредоносное ПО попытается украсть файлы cookie сессии, они не сработают на другой машине.
Защита работает через чип безопасности TPM (Trusted Platform Module) в Windows, браузер генерирует пару ключей прямо внутри этого модуля, причем приватный ключ физически нельзя экспортировать за пределы устройства. Когда сервер выдает браузеру короткоживущие сессионные cookie, Chrome обязан доказывать владение тем самым ключом при каждом обновлении этих cookie и без ключа украденные данные превращаются в бесполезный мусор уже через несколько минут.
Google утверждает, что как только сложное вредоносное ПО получило доступ к системе, чисто программными методами остановить кражу cookie почти невозможно. Злоумышленники используют такие инфостилеры, как LummaC2, которые становятся все хитрее. Они читают локальные файлы и память процессов браузера, где и хранятся аутентификационные данные. DBSC решает эту проблему не программно, а на уровне «железа» и даже если ПО украдет сессионную cookie, он не сможет ее применить.
Разработчикам не придется переписывать свои приложения с нуля и чтобы включить поддержку аппаратно-привязанных сессий, достаточно добавить на бэкенде две точки: одну для регистрации сессии при входе пользователя, другую для обновления короткоживущих cookie. Старый фронтенд при этом продолжает работать без изменений. Ранее Google запустил в Chrome «офисного помощника» на основе ИИ.
Для обычного пользователя все происходит незаметно: не нужно ничего настраивать, устанавливать или оплачивать. Достаточно обновить Chrome до
