La nuova funzione di Google per impedire il furto dei cookie
Riguarda quelli relativi all'autenticazione e sfrutta la crittografia
05/04/2024 di Redazione Giornalettismo
I numeri sono preoccupanti e se – in termini percentuali – la maggior parte dei cookie rubati provengono da Google (si parla del 5% del totale di oltre 54 miliardi messi in vendita nel dark web), occorre trovare delle soluzioni per ostacolare il fin troppo facile “lavoro” dei criminali informatici. Proprio nei giorni in cui NordVPN ha pubblicato il proprio studio su questi piccoli file di testo (che contengono una miriade di informazioni) sottratti e commercializzati, Google ha annunciato la prototipazione del suo Device Bound Session Credentials (DBSC): una funzione che, agendo a livello locale sul sistema operativo e sfruttando chiavi crittografate, potrebbe rendere la vita meno facile ai malintenzionati.
LEGGI ANCHE > Il furto dei cookies: un motivo in più per incentivare l’approccio cookieless nelle piattaforme
Una soluzione disponibile, per il momento, solamente per una ristretta cerchia di utenti Chrome Beta. Un progetto open source che sembra cadere a fagiolo, proprio nei giorni in cui il tema dei pericoli legati ai cookie rubati è diventato di pubblico dominio. Non che prima non lo fosse, ma visto che oggi anche la stampa generalista italiana ne ha iniziato a parlare, è giusto che tutti i cittadini/utenti siano allertati utilizzando numeri e proponendo possibili e futuribili soluzioni preventive per scongiurare attacchi informatici.
Device Bound Session Credentials, come funziona
Ma di cosa si parla quando citiamo il Device Bound Session Credential? Google, attraverso un blog ufficiale di Chrome, ha spiegato – in parole semplici – il funzionamento del DBSC:
«Vincolando le sessioni di autenticazione al dispositivo, DBSC mira a sconvolgere il settore del furto di cookie poiché l’esfiltrazione di questi cookie non avrà più alcun valore. Riteniamo che ciò ridurrà sostanzialmente il tasso di successo del malware per il furto di cookie. Gli aggressori sarebbero costretti ad agire localmente sul dispositivo, il che rende più efficace il rilevamento e la pulizia sul dispositivo, sia per il software antivirus che per i dispositivi gestiti dall’azienda».
Legando, attraverso chiavi pubbliche e private “salvate” localmente, e proteggendo con la crittografia i cookie di sessione, per un cyber criminale sarà molto più complesso sottrarre questi piccoli file di testo. A livello tecnico, Google spiega:
«L’API DBSC consente a un server di avviare una nuova sessione con un browser specifico su un dispositivo. Quando il browser avvia una nuova sessione, crea una nuova coppia di chiavi pubblica/privata localmente sul dispositivo e utilizza il sistema operativo per archiviare in modo sicuro la chiave privata in un modo che ne rende difficile l’esportazione».
Questo strumento, ancora in fase di test, potrebbe risolvere l’atavica questione dell’esfiltrazione di cookie e potrebbe rappresentare anche una possibile soluzione per prevenire altre tipologie di ruberie informatiche.