Google Chrome добавляет защиту от кражи сессионных файлов cookie для всех пользователей

Главная » Браузеры » Google Chrome » Google Chrome добавляет защиту от кражи сессионных файлов cookie для всех пользователей

29.05.2026

Время чтения: 3 мин.

По словам представителей Google, функция безопасности Chrome Device Bound Session Credentials (DBSC) теперь общедоступна и доступна всем пользователям для предотвращения захвата учетных записей.

Технология DBSC, доступная в бета-версии с апреля, была впервые представлена в 2024 году как способ криптографической привязки сессионных файлов cookie к конкретному устройству, чтобы хакеры не могли использовать украденные файлы cookie для обхода многофакторной аутентификации (MFA) и захвата учетных записей пользователей.

DBSC работает по принципу криптографической привязки пользовательских сессий к аппаратному обеспечению, например к чипу безопасности компьютера (например, к доверенному платформенному модулю (TPM) в Windows и Secure Enclave в macOS).

Поскольку уникальные открытые и закрытые ключи, используемые для шифрования и дешифрования конфиденциальных данных, генерируются чипом безопасности, их невозможно украсть, что не позволяет злоумышленникам использовать украденные файлы cookie.

«DBSC в корне меняет возможности интернета по защите от этой угрозы, смещая парадигму с реактивного обнаружения на проактивное предотвращение, гарантируя, что успешно похищенные файлы cookie не смогут быть использованы для доступа к аккаунтам пользователей», — заявили в Google в апреле.

«DBSC повышает уровень безопасности учетной записи после входа пользователя в систему и помогает привязать cookie-файл сеанса — небольшие файлы, которые веб-сайты используют для сохранения информации о пользователе, — к устройству, с которого пользователь прошел аутентификацию. Даже если на устройстве пользователя было вредоносное ПО, DBSC снижает риск кражи сеанса и значительно усложняет злоумышленникам использование украденных cookie-файлов сеанса», — говорится в сообщении на этой неделе.

Как работает DBSC (Google)

Читать Потеряли iPhone? Не ведитесь на фишинговые сообщения о том, что он найден

Эта функция теперь доступна всем клиентам Google Workspace, подписчикам Workspace Individual и пользователям с личными аккаунтами Google.

Google добавила, что после развертывания эта функция будет включена по умолчанию для всех клиентов Google Workspace и администраторы не смогут ее отключить.

В прошлом злоумышленники использовали недокументированную конечную точку API Google OAuth «MultiLogin» для создания новых файлов cookie аутентификации после истечения срока действия украденных файлов.

Злоумышленники, распространяющие вредоносные программы для кражи информации Lumma и Rhadamanthys, также заявляли, что могут восстановить просроченные файлы cookie для аутентификации Google, украденные в ходе атак, чтобы получить доступ к аккаунтам Google зараженных пользователей.

В то время Google рекомендовал пользователям удалять вредоносное ПО со своих устройств и включать режим повышенной безопасности Chrome для защиты от фишинга и вредоносных атак.

Однако новая функция безопасности Chrome Device Bound Session Credentials (DBSC) должна эффективно препятствовать использованию злоумышленниками таких украденных файлов cookie, поскольку у них не будет доступа к криптографическим ключам, необходимым для их использования.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Просмотров поста: 0

Редактор: AndreyEx

Рейтинг: 5 (1 голос)