Google, saldırganların kullanıcı hesaplarına erişmek için çalıntı oturum çerezlerini kullanmasını engellemeyi amaçlayan, Cihaza Bağlı Oturum Kimlik Bilgileri (DBSC) adı verilen Chrome için yeni bir güvenlik özelliği üzerinde çalışıyor.
Oturum (yani kimlik doğrulama) çerezleri, kullanıcı web kaynaklarına giriş yaptığında tarayıcılar tarafından saklanır. Bunları ele geçirmek, saldırganların çalıntı erişim jetonlarını yeni web oturumlarına enjekte ederek ve böylece kendi kimliklerini doğrulamak zorunda kalmadan orijinal kullanıcının “kimliğine bürünerek” “çerezi geçirme” saldırıları düzenlemelerine olanak tanır.
Çerez hırsızlığı ekosisteminin bozulması
Bir süredir saldırganlar, çok faktörlü kimlik doğrulamayı atlayabilmek için genellikle kötü amaçlı yazılım kullanarak oturum çerezlerini çalıyor.
DBSC, kimlik doğrulama oturumlarını cihaza bağlamayı amaçlıyor, böylece çalınan çerezler, cihazda yerel olarak hareket edemedikleri sürece saldırganlar için değersiz hale geliyor. Ancak Google'ın Chrome Karşı Kötüye Kullanım ekibinde kıdemli yazılım mühendisi olan Kristian Monsen, ancak bunu yapmaya zorlanırlarsa varlıklarının tespit edilme olasılığının daha yüksek olacağını söylüyor.
“Yüksek düzeyde, DBSC API, sunucunun cihazdaki belirli bir tarayıcıyla yeni bir oturum başlatmasına olanak tanır. Tarayıcı yeni bir oturum başlattığında, cihazda yerel olarak yeni bir genel/özel anahtar çifti oluşturur ve özel anahtarı dışa aktarmayı zorlaştıracak şekilde güvenli bir şekilde saklamak için işletim sistemini kullanır” diye açıkladı.
“Chrome, anahtar koruması için giderek daha yaygın hale gelen ve Windows 11 için gerekli olan Güvenilir Platform Modülleri (TPM'ler) gibi olanakları kullanacak ve aynı zamanda yazılımdan yalıtılmış çözümleri de desteklemeyi düşünüyoruz.”
Her oturum bir genel anahtarla ilişkilendirilecektir. Sunucular, kaynağa erişen kullanıcının/cihazın özel anahtara sahip olup olmadığını kontrol edebilir ve oturumun hala aynı cihazda olduğundan emin olmak için bunu oturumun ömrü boyunca yapacaktır.
“Bunu gecikme açısından mümkün kılmak ve mevcut çerez tabanlı çözümlerin geçişine yardımcı olmak için DBSC, web sitesindeki DBSC tanımlı özel bir uç nokta aracılığıyla kısa ömürlü çerezlerin güncelliğini korumak için bu anahtarları kullanıyor. Bu, normal web trafiğinin bant dışında gerçekleşmesiyle eski web siteleri ve uygulamalarda yapılması gereken değişiklikleri azaltıyor” diye ekledi Monsen.
Çevrimiçi izleme yok
Monsen, bu anahtarların kullanıcıları çevrimiçi izlemek için kullanılamayacağını garanti ediyor, çünkü DBSC, sitelerin aynı cihazdaki farklı oturumlardaki anahtarları ilişkilendirmesine olanak vermiyor. Ayrıca kullanıcılar istedikleri zaman anahtarları silebilecekler.
“DBSC, Chrome'daki üçüncü taraf çerezlerinin aşamalı olarak kaldırılmasıyla tamamen uyumlu hale getirilecek. Üçüncü taraf bağlamlarında DBSC, kullanıcı tercihleri ve diğer faktörlere göre belirlendiği şekilde üçüncü taraf çerezleriyle aynı kullanılabilirliğe ve/veya segmentasyona sahip olacaktır. Bunun amacı, üçüncü taraf çerezleri kullanımdan kaldırıldığında DBSC'nin yeni bir izleme vektörü haline gelmemesini sağlamak ve aynı zamanda bu tür çerezlerin bu arada tamamen korunabilmesini sağlamaktır” diye belirtti.
“Kullanıcı belirli bir site için çerezleri, üçüncü taraf çerezlerini veya çerezleri tamamen devre dışı bırakırsa bu, bu senaryolarda da DBSC'yi devre dışı bırakacaktır.”
DBSC: Açık bir web standardı mı?
Bu özellik halen çalışma aşamasındadır ve deneyseldir, Chrome Beta çalıştıran bazı kullanıcılarla sınırlıdır ve Google'ın planı, bunu geliştiricilerin yıl sonuna kadar denemesine sunmaktır.
Google ayrıca DBSC'nin açık bir web standardı haline gelmesini umuyor.
“Birçok sunucu sağlayıcı, Okta gibi kimlik sağlayıcılar (IDP'ler) ve Microsoft Edge gibi tarayıcılar, kullanıcılarını çerez hırsızlığına karşı güvence altına almak istedikleri için DBSC'ye ilgi duyduklarını belirttiler. Farklı türdeki web siteleri için gizliliği koruyan bir standart sunabildiğimizden emin olmak için tüm ilgili taraflarla iletişim halindeyiz,” diye paylaştı Monsen.