W kontekście bezpieczeństwa dużo się mówi o tym, by korzystać z menedżerów haseł (korzystam), uwierzytelnienia dwuskładnikowego (korzystam), czy to w formie jednorazowych kodów (korzystam) czy sprzętowych kluczy typu YubiKey (korzystam). I choć patrząc na to, że przy każdym elemencie dodałem „korzystam” oczywiście warto należy z takich rozwiązań korzystać, to jednak nie jest tak, że taki zestaw zapewni nam 100% bezpieczeństwa przed dostępem do naszego konta do dowolnego serwisu z innego urządzenia niż nasze. Wszystko dlatego, że atakujący może np. uzyskać dostęp do naszego urządzenia i po prostu wykraść ciasteczka (cookie), które są wykorzystywane do potwierdzenia, że jesteśmy już zalogowani i możemy korzystać z danej usługi, z danego serwisu. Na szczęście zaczęło się to zmieniać, również w systemie Windows, z którego korzystam. Przynajmniej jeśli chodzi o Chrome, czyli przeglądarkę, z której od dawna… nie korzystam. Ale mam nadzieję, że inni pójdą w jej ślady…
Na blogu Google Security Blog pojawił się artykuł o nowości, jaka ma się pojawić w Chrome 127, a która właśnie związana jest z dodatkowym zabezpieczeniem ciasteczek przed wykradzeniem z naszego komputera, mając już do niego dostęp (np. za pomocą oprogramowania typu „infostealers”):
On Windows, Chrome uses the Data Protection API (DPAPI) which protects the data at rest from other users on the system or cold boot attacks. However, the DPAPI does not protect against malicious applications able to execute code as the logged in user – which infostealers take advantage of.
(…)
In Chrome 127 we are introducing a new protection on Windows that improves on the DPAPI by providing Application-Bound (App-Bound) Encryption primitives. Rather than allowing any app running as the logged in user to access this data, Chrome can now encrypt data tied to app identity, similar to how the Keychain operates on macOS.
W skrócie – ciasteczka będą teraz dodatkowo szyfrowane za pomocą dodatkowego mechanizmu, tak by dostęp do nich – zwłaszcza w formie odszyfrowanej – mogła mieć tylko przeglądarka Chrome. W końcu. I tak jak napisałem wyżej – oby twórcy pozostałych przeglądarek również zaimplementowali podobne mechanizmy w swoich przeglądarkach.
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Wakacje składkowe ZUS a zawieszenie działalności gospodarczej, czyli uważaj, bo być może nie będziesz mógł skorzystać (w 2024) - 1970-01-01
- Przykładowy kalkulator wyceny usługi druku 3D, czyli nie tylko materiał się liczy - 1970-01-01
- Home Assistant 2024.10, czyli nowa karta „nagłówek” i niedziałający TTS w ramach usługi Google Cloud - 1970-01-01
