Google, bunun bir güvenlik özelliği yaptığını açıkladı. Cihaza Bağlı Oturum Kimlik Bilgileri (DBSC) Kullanıcıların oturum çerez hırsızlığı saldırılarına karşı korunmasını sağlamak için açık betada.
İlk olarak Nisan 2024’te bir prototip olarak tanıtılan DBSC, tehdit aktörlerinin kurbanların hesaplarına oturum açmak ve kontrolleri altındaki ayrı bir cihazdan yetkisiz erişim elde etmek için çalıntı çerezleri kullanmasını önlemek için kimlik doğrulama oturumlarını bir cihaza bağlamak için tasarlanmıştır.
Google Workspace Kıdemli Direktörü Andy Wen, “Windows’ta Chrome Tarayıcısında bulunan DBSC, oturum açtıktan sonra güvenliği güçlendirir ve Google Workspace Ürün Yönetimi Kıdemli Direktörü Andy Wen, cihazdan bir kullanıcıdan bir kullanıcı aygıtına – web siteleri tarafından kullanılan küçük dosyalar – bir oturum çerezi – web siteleri tarafından kullanılan küçük dosyalar – bağlamaya yardımcı olur.” Dedi.
DBSC, yalnızca onay sonrası kullanıcı hesaplarını güvence altına almak için değil. Kötü aktörlerin oturum çerezlerini yeniden kullanmasını ve oturum bütünlüğünü iyileştirmesini çok daha zor hale getirir.
Şirket ayrıca, PassKey desteğinin artık 11 milyondan fazla Google çalışma alanı müşterisi için mevcut olduğunu ve kaydı denetlemek ve passeyleri fiziksel güvenlik anahtarlarına kısıtlamak için genişletilmiş yönetici kontrolleri için mevcut olduğunu belirtti.
Son olarak, Google, OpenID standardını kullanarak gerçek zamanlı olarak önemli güvenlik sinyallerinin değişimini sağlamak için belirli müşteriler için kapalı bir betada paylaşılan sinyaller çerçevesi (SSF) alıcısını sunmayı planlıyor.
Wen, “Bu çerçeve, ‘vericilerin’ alıcıları hemen önemli olaylar hakkında bilgilendirmesi ve güvenlik tehditlerine koordineli bir yanıtı kolaylaştırması için sağlam bir sistem görevi görüyor.” Dedi.
“Tehdit algılama ve yanıtın ötesinde, sinyal paylaşımı, cihaz veya kullanıcı bilgileri gibi farklı mülklerin genel olarak paylaşılmasına, genel güvenlik duruşunu ve işbirlikçi savunma mekanizmalarını daha da artırmasına izin verir.”
Google Project Zero, şeffaflığı raporlamayı açıklar
Geliştirme, şirket içinde sıfır gün güvenlik açıklarını avlamakla görevlendirilen bir güvenlik ekibi olan Google Project Zero, yukarı akış yama boşluğu olarak tanımlananları ele almak için şeffaflık bildirme adlı yeni bir deneme politikası duyurdu.
Yama boşluğu tipik olarak bir güvenlik açığı için bir düzeltme serbest bırakıldığı zaman ve bir kullanıcı uygun güncellemeyi yüklediği zaman dilimini ifade etse de, yukarı akış yama boşluğu, bir yukarı akış satıcının bir düzeltmeye sahip olduğu, ancak aşağı akış müşterilerinin henüz yamayı entegre etmediği ve son kullanıcılara göndermediği zaman aralığını belirtir.
Bu yukarı akış yama uygulamasını kapatmak için Google, ilgili satıcıya rapor verdikten sonra bir hafta içinde bir güvenlik açığının keşfini kamuya paylaşmayı planladığı yeni bir adım eklediğini söyledi.
Bu bilgilerin raporu, etkilenen ürünü, raporun açıldığı tarihi ve 90 günlük açıklama tarihinin sona erdiğinde satıcı veya açık kaynaklı projeyi içermesi beklenmektedir. Mevcut listede iki Microsoft Windows hatası, Dolby Birleşik Decoder’da bir kusur ve Google Bigwave’de üç sorun bulunmaktadır.
Project Zero’dan Tim Willis, “Bu denemenin temel amacı, şeffaflığı artırarak yukarı akış yama boşluğunu küçültmektir.” Dedi. Diyerek şöyle devam etti: “Bir güvenlik açığının yukarı akış bildirildiğine dair erken bir sinyal sağlayarak, aşağı yönlü bağımlıları daha iyi bilgilendirebiliriz. Küçük sorunlarımız için, kullanıcılarını etkileyebilecek sorunları izlemek için ek bir bilgi kaynağına sahip olacaklar.”
Google ayrıca, bu prensibi geçen yıl DeepMind ve Google Project Zero arasında güvenlik açığı keşfini arttırmak için bir işbirliğinin bir parçası olarak başlatılan yapay zeka (AI) ajanı olan Big Sleep’e uygulamayı planladığını söyledi.
Arama devi ayrıca hiçbir teknik detay, kavram kanıtı kodu veya kötü aktörlerin son tarihe kadar “maddi olarak yardımcı olabilecek” diğer bilgilerin yayınlanacağını vurguladı.
En son yaklaşımla Google Project Zero, son kullanıcılar tarafından zamanında güvenen cihazlara, sistemlere ve hizmetlere yamaları serbest bırakma ve genel güvenlik ekosistemini güçlendirmeyi umduğunu söyledi.