Chrome fortalece a segurança da sessão

No Google Chrome, uma nova tecnologia chamada Device-Bound Session Credentials (DBSC) foi introduzida para proteger as sessões dos usuários contra sequestro.

Com o DBSC, em vez de confiar apenas em cookies, o navegador vincula uma sessão a um dispositivo específico. Quando um usuário faz login, o Google Chrome gera um par de chaves criptográficas, e a chave privada é armazenada em hardware seguro no dispositivo, como um Trusted Platform Module (TPM).

A sessão é então construída em torno de cookies de curta duração. Quando um cookie expira, o navegador deve provar ao servidor que ainda possui a chave privada. Somente após essa verificação a sessão é renovada. Como resultado, mesmo que um cookie seja roubado, ele não pode ser reutilizado em outro dispositivo, pois o atacante não terá acesso à chave necessária.

O roubo de cookies permanece uma das maneiras mais eficazes de contornar a segurança, especialmente para infostealers. Tais ataques podem até contornar a autenticação multifator, já que a sessão já é considerada confiável. O DBSC reduz significativamente o valor prático dos cookies roubados.

⚠️ Limitações

Apesar de suas vantagens, a tecnologia não é uma solução completa. Se o dispositivo já estiver comprometido, por exemplo, por malware presente durante o registro, pode ser possível extrair a chave. No entanto, tais ataques são significativamente mais complexos e mais detectáveis do que o roubo tradicional de cookies.

O DBSC também requer suporte do lado do servidor. Não é apenas uma configuração do navegador, mas uma mudança na lógica de autenticação.

💬 Discutir