2FA, MFA ve şifrelerle oturum açma işlemlerini daha güvenli hale getirmek için bilgisayar korsanları, kimlik doğrulama çerezlerini çalmayı yeni en iyi seçenek olarak görmeye başlıyor. Bu değerli veriler, şifre girmeden haftalarca hatta aylarca cihazınızda oturum açmanıza olanak tanır, ancak genellikle çok kolay bir şekilde çalınabilir veya çıkarılabilir. Google, açık bir projeyi tanımlamanın bir gün internette dolaşan bir standart haline gelmesini umarak bunu değiştirmek için çalıştığını duyurdu.
Google, çerez hırsızlığını kesin olarak durdurmak istiyor
Çerezler kullanışlı olsa da bazı güvenlik risklerini de beraberinde getirir. Kötü aktörler, kurbanın bilgisayarındaki kötü amaçlı yazılımı kullanarak bunları elde ettiğinde, çerezleri kendi sunucularında saklayabilir ve kullanabilir veya bunları diğer kötü aktörlere satabilirler. Kimlik doğrulama çerezleri yalnızca başarılı bir oturum açma sonrasında oluşturulduğundan, hizmet sağlayıcı bunları gördüğünde herhangi bir genel güvenlik önlemi oluşturulmaz. Güvenlik önlemleri şu anda çerezlerin farklı bilgisayarlarda çalışmasını engelleyecek kadar güçlü değildir.
Google ileCihaz Bağlama İletişim Kutusu Kimlik Bilgileri (DBSC) API'sibu durumun değişmesi gerekiyor. Şirket, kimlik doğrulama çerezlerini onları yayınlayan cihaza bağlayan bir web standardı oluşturmayı ve çalınan çerezlerin diğer bilgisayarlardaki hesaplara giriş yapmak için kullanılamaması için web sitesi ile tarayıcı arasında benzersiz bir anlaşma oluşturmayı umuyor. Bu, bilgisayar korsanlarının kurbanların cihazlarında çalınan çerezleri kullanmasını engelleyecek ve kötü aktörlerin ortalığı kasıp kavurmasını önlemek için geleneksel antivirüs korumasını basitleştirecek. Google bu yeni API'yi geliştirirken kullanıcı gizliliğini korumak istiyor. Web siteleri, oturum açma işleminin aynı bilgisayardan yapılıp yapılmadığını belirlemek için özel anahtarı kullanamaz. Bu cihazlarla ilişkili çerezler, tarayıcınızdaki normal çerezlerle aynı şekilde silinebilir. Google, her konuşma için sunucuya gönderilen tek bilginin önemli olduğunu ve sunucunun bunu anahtarın sahibi olduğunu kanıtlamak için kullandığını söylüyor.
Bu çözümün sorunu tüm cihazların ve işletim sistemlerinin hazır olmamasıdır. Google, şu anda PC'lerde yüklü olan etkin Chrome tarayıcılarının yalnızca yarısının onunla uyumlu olduğunu tahmin ediyor; çünkü şirket, “anahtar güvenliği için giderek daha yaygın hale gelen Güvenilir Platform Modülleri (TPM)” gibi özelliklere sahip çözümler buldu. Windows 11 bunları gerektiriyor. Eski bilgisayarlara sahip kişilerin geri adım atmamalarını sağlamak için, eksiksiz yazılım Google ayrıca, kullanıcıların onları izole etmek ve kullanabilecekleri cihaz türlerini sınırlamak için güvenlik özelliklerini kullanmasını engellemeye yardımcı olacak kullanıcı dostu çözümler de araştırıyor.
Google, DBSC prototipini sınırlı sayıda Google Hesabı kullanıcısıyla Chrome beta sürümünde test etmeye başladı. Bu ilk test özellikle Chrome ve Google Hesapları için oluşturulmuş olsa da şirket, kullandığı temel yazılımın diğer satıcıların kullanımına da açık olduğunu söylüyor: “Bu prototip yalnızca Chrome ve Google Hesaplarının birlikte nasıl çalıştığını göstermekle kalmıyor, aynı zamanda doğrulama ve uygulama üzerinde de çalışıyor. oluşturmak istediğimiz genel API'nin her yönünü bilgilendirir.”
Google'a göre, Okta ve Microsoft Edge de dahil olmak üzere birçok şirket araca ilgi duyduğunu belirtti. API'nin herkesin ihtiyaçlarını karşıladığından emin olmak için Google, API'yi gerçek bir web standardı haline getirmek üzere onlarla birlikte çalıştığını söylüyor. Google, 2024'ün sonuna kadar çeşitli senaryolarda test yapmak için DBSC'yi tam olarak kullanmayı umuyor. Anahtar ve 2FA kimlik doğrulaması daha yaygın hale geldikçe, bir hesaba yalnızca kolay bir yol sağlayan çerezleri korumak mantıklı olacaktır.
