Google, çalınan çerezleri etkisiz hale getirerek Chrome'daki güvenlik açığını giderdi

Google, Chrome 146’da çerez oturum hırsızlığını önlemek için koruma ekledi

*Yeni teknoloji – Device Bound Session Credentials (DBSC) – kullanıcıların aktif oturumlarını cihazlarının donanımına kriptografik olarak bağlar.*

Ne değişti
Platforma Nasıl çalışır Koruma Windows Trusted Platform Module (TPM) modülünü kullanır. Çip, dışarıya aktarilemeyecek benzersiz anahtarlar üretir. Yeni çerez oturumları yalnızca Chrome’un özel anahtara sahip olduğunu doğruladıktan sonra verilir. macOS Güvenlik Enklavı üzerinden bir sonraki tarayıcı güncellemesinde TPM’ye benzer şekilde koruma eklenecek.

Nasıl çalışır
1. Yeni bir oturum oluşturulduğunda, Chrome güvenlik çipine bağlı halka/özel anahtar üretir.
2. Sunucu yalnızca halka anahtarı alır ve bunu çerez oturumu şifrelemek için kullanır.
3. Verilere erişmek için istemci, özel anahtara sahip olduğunu kanıtlamalıdır – bu yalnızca aynı cihazda mümkündür.
4. Bir saldırgan çerezi çalsa bile, çip erişimi yoksa oturum anında geçersiz olur.

Neden önemli
* Oturum çerezleri, kullanıcıların parolayı tekrar girmeden hizmetlere giriş yapmalarını sağlayan kimlik doğrulama belirteçleridir.
* LummaC2 gibi kötü amaçlı yazılımlar bu dosyaları ve tarayıcı belleğini okuyarak verileri çalar.
* Yazılım tabanlı korumalar her zaman etkili değildir – saldırgan makineye erişirse, herhangi bir zorlukta çerez alabilir.

DBSC veri alışverişini minimize eder: yalnızca halka anahtarı sunucuya gönderilir ve cihaz tanımlayıcısı gizli kalır. Her oturum ayrı bir anahtarla korunur, bu da kullanıcı etkinliğinin farklı oturumlar arasında izlenmesini engeller.

Test ve destek
* Google, DBSC’nin erken sürümünü Okta dahil olmak üzere birkaç web platformu ile test etti.
* Oturum hırsızlığında belirgin düşüş kaydedildi.
* Protokol Microsoft ile işbirliği içinde açık bir web standardı olarak geliştirildi ve web güvenliği uzmanları tarafından onaylandı.

Siteniz nasıl faydalanabilir
1. DBSC kullanan oturum çerezleri için kayıt ve güncelleme noktalarını backend’inize ekleyin.
2. Bu, mevcut frontend’i etkilemez – uyumluluk korunur.

Spesifikasyonlar W3C sitesinde mevcuttur; ayrıntılı uygulama rehberi Google dokümantasyonunda ve GitHub deposunda bulunabilir.

Sonuç: Chrome 146’nın yeni özelliği, çerez oturumlarını kullanıcı donanımına bağlayarak daha güvenilir bir koruma sağlar. Çalınan belirteçler neredeyse anında işe yaramaz hale gelir ve web uygulamalarının genel güvenliğini artırır.