В Chrome встроили функцию защиты от кражи сеансов. Как она работает
. Похищенные файлы cookie будут бесполезныВ новой версии Chrome появилась защита от использования украденных cookie
В стабильную версию 146-го браузера Chrome для Windows была включена технология Device Bound Session Credentials (DBSC). Она защищает пользователей от кражи файлов cookie.
Подобные хищения, как правило, происходят, когда пользователь случайно загружает вредоносное ПО на свое устройство. После активации такие программы извлекают из браузера сессионные cookie или ждут, пока пользователь войдет в новые учетные записи.
Затем эти токены передаются злоумышленникам. Часто cookie имеют длинный срок действия, это позволяет преступникам использовать их для доступа к чужим учетным записям без паролей. Вредоносное ПО может считывать локальные файлы и память, где браузеры хранят файлы cookie.
Технология DBSC криптографически закрепляет активный сеанс пользователя за конкретным устройством. Благодаря этому украденные файлы cookie не сработают на другом устройстве. Функция работает через чипы безопасности Trusted Platform Module (TPM) в Windows и Secure Enclave в macOS. Они генерируют пару ключей, которые нельзя экспортировать с компьютера. Новые кратковременные сессионные файлы cookie браузер получает только при наличии соответствующего ключа. Без него украденные файлы использовать не получится.
Пользователям достаточно обновить браузер до 146-й версии на Windows. Устанавливать что-либо дополнительно или настраивать не нужно. Функция автоматически начнет работать с сайтами, которые поддерживают подобный механизм. Компания пообещала добавить эту функцию на macOS в одном из следующих релизов.
Возможность выключить защиту от спама в Chrome
Ранее в Chrome появилась возможность отключить «улучшенную защиту» от спама, которая использовала искусственный интеллект. Функция помогала быстрее распознавать подозрительные паттерны даже на сайтах, не входящих в черный список корпорации Google.
Однако ИИ-модели, необходимые для ее работы, хранятся на компьютере пользователя и загружаются через Chrome. Теперь их можно удалить. Компания Google добавила эту опцию только в сборку Chrome Canary.
