W kontekście bezpieczeństwa dużo się mówi o tym, by korzystać z menedżerów haseł (korzystam), uwierzytelnienia dwuskładnikowego (korzystam), czy to w formie jednorazowych kodów (korzystam) czy sprzętowych kluczy typu YubiKey (korzystam). I choć patrząc na to, że przy każdym elemencie dodałem „korzystam” oczywiście warto należy z takich rozwiązań korzystać, to jednak nie jest tak, że taki zestaw zapewni nam 100% bezpieczeństwa przed dostępem do naszego konta do dowolnego serwisu z innego urządzenia niż nasze. Wszystko dlatego, że atakujący może np. uzyskać dostęp do naszego urządzenia i po prostu wykraść ciasteczka (cookie), które są wykorzystywane do potwierdzenia, że jesteśmy już zalogowani i możemy korzystać z danej usługi, z danego serwisu. Na szczęście zaczęło się to zmieniać, również w systemie Windows, z którego korzystam. Przynajmniej jeśli chodzi o Chrome, czyli przeglądarkę, z której od dawna… nie korzystam. Ale mam nadzieję, że inni pójdą w jej ślady…
Na blogu Google Security Blog pojawił się artykuł o nowości, jaka ma się pojawić w Chrome 127, a która właśnie związana jest z dodatkowym zabezpieczeniem ciasteczek przed wykradzeniem z naszego komputera, mając już do niego dostęp (np. za pomocą oprogramowania typu „infostealers”):
On Windows, Chrome uses the Data Protection API (DPAPI) which protects the data at rest from other users on the system or cold boot attacks. However, the DPAPI does not protect against malicious applications able to execute code as the logged in user – which infostealers take advantage of.
(…)
In Chrome 127 we are introducing a new protection on Windows that improves on the DPAPI by providing Application-Bound (App-Bound) Encryption primitives. Rather than allowing any app running as the logged in user to access this data, Chrome can now encrypt data tied to app identity, similar to how the Keychain operates on macOS.
W skrócie – ciasteczka będą teraz dodatkowo szyfrowane za pomocą dodatkowego mechanizmu, tak by dostęp do nich – zwłaszcza w formie odszyfrowanej – mogła mieć tylko przeglądarka Chrome. W końcu. I tak jak napisałem wyżej – oby twórcy pozostałych przeglądarek również zaimplementowali podobne mechanizmy w swoich przeglądarkach.
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Home Assistant i integracja z IMGW-PIB, czyli tworzymy automatyzację z powiadomieniami bazując na sensorach zagrożenie i alarm powodziowy - 1970-01-01
- Home Assistant 2024.9 i kolejne przydatne nowości w widoku „sekcje”, dzięki którym jeszcze lepiej można dopasować wygląd - 1970-01-01
- Pomijanie i drukowanie wybranych elementów na drukarce 3D Bambu Lab A1 Mini (i A1) za pomocą aplikacji Bambu Handy - 1970-01-01
