Karena GDPR, cookie bukan satu-satunya hal yang mengganggu Anda pada setiap #$% dan waktu situs yang Anda kunjungi. Situs adalah salah satu cara paling mendasar untuk membedakan pengguna tertentu dari baik dan buruk. Mencuri dan meretas cookie tersebut adalah vektor serangan pencurian identitas yang populer, itulah sebabnya pembaruan Chrome terbaru mencoba menjaga keamanannya.
Seperti yang dibahas dalam postingan blog Chromium ini (ditampilkan di Bleeping Computer), mencuri cookie autentikasi pengguna melalui rekayasa sosial memungkinkan orang lain meniru sesi login jarak jauh.
Contoh skenario: Klik tautan dari “CEO” Anda (email phishing dengan header), yang akan memuat proses latar belakang yang menargetkan browser Anda. Anda bahkan masuk ke bank Anda menggunakan otentikasi dua faktor untuk keamanan tambahan. Prosesnya menggeser proses memasak aktif dari browser Anda, setelah login, dan orang lain dapat meniru identitas Anda dengan menggunakan cookie tersebut untuk menyimulasikan sesi login aktif.
Solusi Google untuk masalah ini adalah Kredensial Sesi Batas Perangkat. Perusahaan ini mengembangkan DBSC sebagai alat sumber terbuka, dengan harapan dapat menjadi standar web yang banyak digunakan. Ide dasarnya adalah selain cookie yang mengidentifikasi pengguna, browser menggunakan data tambahan untuk mengaitkan sesi tersebut dengan perangkat tertentu – komputer atau ponsel Anda – sehingga tidak dapat dengan mudah dipetakan ke komputer lain.
Hal ini dicapai melalui kunci publik/pribadi yang dibuat oleh chip Trusted Platform Module, atau TPM, yang mungkin Anda ingat dari transisi besar ke Windows 11. Sebagian besar perangkat modern yang dijual dalam beberapa tahun terakhir memiliki perangkat keras yang dapat mencapai hal ini, seperti Google. chip Titan populer di ponsel Android dan Chromebook. Dengan mengizinkan server aman untuk mengikat aktivitas browser ke TPM, hal ini menciptakan sesi dan pasangan perangkat yang tidak dapat direplikasi oleh pengguna lain, meskipun mereka menggeser cookie yang sesuai.
Jika Anda seperti saya, hal ini akan menimbulkan kekhawatiran privasi di kepala Anda, terutama jika hal tersebut berasal dari perusahaan yang baru-baru ini harus menganonimkan data yang dilacaknya dari browser web. Postingan blog Chromium mengatakan bahwa sistem DBSC tidak mengizinkan komunikasi sesi-ke-sesi, karena setiap pasangan sesi-perangkat bersifat unik. “Satu-satunya informasi yang dikirim ke server adalah kunci publik sesi tersebut, yang kemudian digunakan server untuk memverifikasi kredensial pemegang kunci,” kata anggota tim Chrome Christian Monson.
Google mengatakan perusahaan browser dan web lain tertarik dengan alat keamanan baru ini, termasuk Microsoft Edge Group dan perusahaan manajemen identitas Okta. DBSC saat ini sedang diuji pada Chrome versi 125 (sekarang Chrome Dev build pra-beta) dan yang lebih baru.
Sumber: https://www.pcworld.com
Post a Comment for "Fitur Chrome baru memblokir peretas yang mencuri cookie."