Google كتزير السيكوريتي ديال Chrome: ميزة DBSC دابا متاحة للجميع باش تحارب سرقة الـ Sessions على Windows
Google Rolls Out DBSC in Chrome 146 to Block Session Theft on Windows
Google كتزير السيكوريتي ديال Chrome: ميزة DBSC دابا متاحة للجميع باش تحارب سرقة الـ Sessions على Windows
TL;DR (خلاصة القول)
Google أطلقات رسمياً ميزة Device Bound Session Credentials (DBSC) فلانصيحة 146 ديال Chrome على Windows. هاد الخاصية كتربط الـ session cookies بالـ hardware (الماطيرييل) ديال الجهاز، شي اللي كيخلي الكوكيز المسروقين ما ينفعو الشفار بوالو، وهكا كتقضي على أهم طريقة كيستعملوها الهاكرز باش يخطفو الحسابات.
واش هادي هي النهاية ديال سرقة الكوكيز؟
فخطوة كبيرة باش تقوي السيكوريتي ديال الويب، Google علنات بلي ميزة Device Bound Session Credentials (DBSC) ولات موجودة لكل مستعملي Windows اللي خدامين بـ Chrome 146. هاد الإطلاق جا من بعد شهور ديال التيست (beta)، وكتعتابر محطة مهمة فالحرب ضد الـ session hijacking (خطف الجلسات).
"هاد المشروع كيمثل خطوة كبيرة لقدام فالمجهودات ديالنا باش نحاربو سرقة الـ sessions، اللي باقا كتشكل خطر كبير فهاد الوقت"، هادشي اللي قالوه الفرق ديال Chrome و Account Security فـ Google.
فهم الخطر: كيفاش كتم سرقة الـ Session؟
الـ cookies ديال الـ session العاديين كيتعتابرو هما "السوارت ديال الدار". ملي المستعمل كيدخل لشي سيت، واحد الكوكّي كيتخزن فالمتصفح باش تبقى الـ session محلولة. ولكن، إلا المستعمل تيليشاركا بلا ما يحس شي malware (فيروس) من نوع "infostealer" — بحال Atomic، Lumma، ولا Vidar Stealer — الهاكرز كيقدروا يهزو هاد الكوكيز ويصيفطوهم للسيرفورات ديالهم.
وبما أن بزاف ديال هاد الكوكيز كيبقى المفعول ديالهم طويل، الشفارة كيقدروا يستعملوهم باش يتخطاو المودباس وحتى التحقق بخطوتين (MFA). هاد الـ tokens المسروقين كيتبيغوا فالـ dark web، وهكا كيقدروا هاكرز خرين يهجموا على كاع الحسابات ديال الضحية.
كيفاش DBSC كتقضي على الـ Malware
DBSC كتحول الطريقة اللي كيتعرف بها السيرفور على الـ session، بحيث كتولي "مربوطة" (Binding) بالجهاز الحقيقي ديالك عن طريق التشفير (cryptography).
هاد التكنولوجيا كتعتمد على وحدات السيكوريتي اللي كاينة فالـ hardware:
- Windows: كيخدم بـ Trusted Platform Module (TPM).
- macOS: غادي يخدم بـ Secure Enclave (هاد الميزة جاية فلانصيحات الماجيين).
الطريقة كيفاش خدامة:
- Chrome كيصاوب واحد الـ pair ديال السوارت (public/private key) وكيتخزنوا فالسيكوريتي ديال الماطيرييل وما كيقدروش يخرجوا من تما.
- السيرفور كيعطي cookies ديال الـ session المدة ديالهم قصيرة.
- باش Chrome ياخد كوكّي جديد، خاصو يثبت بلي عندو داك الساروت (private key).
- إلا الشفار سرق الكوكّي، ما غاديش يقدر يعطي الساروت اللي مخبي فالماطيرييل، وهكا الـ session المسروقة كتموت دغيا.
إلا كان الجهاز ما كيدعمش التخزين الآمن للسوارت، Google وضحات بلي DBSC غادي يرجع للطريقة العادية (gracefully fall back) باش ما يتعطلش المستعمل فالتسجيل ديال الدخول.
خصوصية المستخدم أولاً (Privacy by Design)
بزاف ديال الناس كيخافوا من التتبع عن طريق الجهاز، ولكن Google أكدات بلي DBSC تصممات مع Microsoft باش تكون معيار مفتوح (open standard) كيهتم بالخصوصية:
- ممنوع التتبع بين السيتات: كل session كيكون عندها ساروت خاص، شي اللي كيمنع السيتات باش يتبعو نشاط المستعمل من سيت لسيت آخر.
- أقل قدر ديال المعطيات: هاد البروتوكول ما كيشاركش المعرفات ديال الجهاز (identifiers)، كيعطي غير الـ public key.
- ضد الـ Fingerprinting: المعمارية ديال DBSC كتضمن أنها ما تستعملش كوسيلة باش يتم التعرف على "البصمة الرقيمة" ديال الجهاز.
شنو جاي من بعد؟
وخا دابا الميزة كاينة غير لصحاب Windows فـ Chrome 146، Google أكدات بلي الدعم لـ macOS جاي فالطريق قريباً. الشركة كشفات بلي ديجا شافوا "نقص كبير" فعمليات سرقة الـ sessions فالمراحل الأولى ديال هاد الخاصية.
فالمستقبل، Google ناويه توسع DBSC لأجهزة أخرى وتزيد خصائص متطورة خاصة بالشركات والمقاولات باش تزيد تقوي السيكوريتي ديالهم.
المصدر: The Hacker News - Google Rolls Out DBSC in Chrome 146 to Block Session Theft on Windows