Prima di procedere
Google ha implementato in Chrome 146 per Windows una rivoluzionaria tecnologia chiamata Device Bound Session Credentials (DBSC), progettata per contrastare efficacemente il furto di cookie di sessione da parte di software dannosi. Questa innovativa misura di sicurezza lega crittograficamente le sessioni attive degli utenti all'hardware dei loro dispositivi, rendendo inutilizzabili i dati di autenticazione rubati dagli hacker. Gli utenti di macOS potranno beneficiare di questa protezione con uno dei prossimi aggiornamenti del browser.
Annunciata nel 2024, la tecnologia DBSC si basa sull'associazione ai componenti hardware, sfruttando il Trusted Platform Module (TPM) in Windows e il Secure Enclave in macOS. Questi chip di sicurezza generano coppie di chiavi univoche (pubblica e privata) per la crittografia dei dati, chiavi che non possono essere esportate dal dispositivo. L'emissione di nuovi cookie di sessione a breve termine avviene solo dopo che Chrome dimostra al server di possedere la chiave privata corrispondente. Senza questa chiave, i cookie rubati diventano inutili per gli attaccanti in un lasso di tempo estremamente breve.
È utile ricordare come funzionano i cookie di sessione. Essi agiscono come token di autenticazione per l'accesso a piattaforme online, con una durata prolungata, e vengono creati lato server a partire dalle credenziali (login e password) dell'utente. Poiché consentono l'autenticazione senza la necessità di inserire ogni volta le credenziali, i criminali informatici utilizzano software malevoli specializzati (noti come infostealer) per sottrarre questi token.
Google sottolinea come malware come LummaC2 stiano diventando sempre più sofisticati nel furto di credenziali. Una volta ottenuto l'accesso a un sistema, tali software possono leggere file locali e la memoria, dove i browser memorizzano i cookie di autenticazione. Non esiste un metodo puramente software per impedire completamente il loro furto.
Il protocollo DBSC, invece, richiede uno scambio minimo di informazioni (solo la chiave pubblica per confermare il possesso, senza rivelare identificatori del dispositivo) e protegge ogni sessione con una chiave distinta, impedendo ai siti web di tracciare l'attività dell'utente tra sessioni diverse.
Google ha testato una versione preliminare di DBSC in collaborazione con diverse piattaforme web, tra cui Okta, riscontrando una notevole diminuzione dei furti di sessione. Il protocollo è stato sviluppato in partnership con Microsoft come standard web aperto e ha ricevuto valutazioni positive da numerosi esperti di sicurezza web.
I siti web possono adottare sessioni più sicure con binding hardware aggiungendo specifici punti di registrazione e aggiornamento al loro backend, senza compromettere la compatibilità con il frontend esistente. Le specifiche sono disponibili sul sito del World Wide Web Consortium (W3C), mentre una guida dettagliata all'implementazione è consultabile nella documentazione di Google e su GitHub.
