Google ha eliminato la vulnerabilità in Chrome, rendendo i cookie rubati inefficaci

Google ha introdotto la protezione contro il furto di cookie‑sessione in Chrome 146

*La nuova tecnologia – Device Bound Session Credentials (DBSC) – lega criptograficamente le sessioni attive degli utenti all’hardware dei loro dispositivi.*

Cosa è cambiato
Piattaforma Come funziona la protezione
Windows Utilizza il modulo Trusted Platform Module (TPM). Il chip genera chiavi uniche che non possono essere esportate. Le nuove cookie‑sessione vengono rilasciate solo dopo la conferma da parte di Chrome della proprietà della chiave privata.
macOS La protezione sarà aggiunta in uno dei futuri aggiornamenti del browser tramite Secure Enclave – l’equivalente TPM.

Come funziona
1. Quando viene creata una nuova sessione, Chrome genera una coppia di chiavi pubblica/privata legata al chip di sicurezza.

2. Il server riceve solo la chiave pubblica e la utilizza per cifrare il cookie‑sessione.

3. Per accedere ai dati, il client deve dimostrare la proprietà della chiave privata – ciò è possibile solo sullo stesso dispositivo.

4. Se un aggressore rubasse il cookie ma non avesse accesso al chip, la sessione diventa immediatamente invalida.

Perché è importante
* I cookie di sessione sono token di autenticazione che consentono all’utente di accedere ai servizi senza reinserire la password.

* Il malware (infostilers) come LummaC2 legge questi file e la memoria del browser per rubare i dati.

* I metodi di protezione software non sempre sono efficaci – se l’aggressore ottiene accesso alla macchina, può ottenere cookie di qualsiasi complessità.

DBSC riduce lo scambio di dati: solo la chiave pubblica viene inviata al server, mentre l’identificatore del dispositivo rimane nascosto. Ogni sessione è protetta da una chiave distinta, impedendo il tracciamento dell’attività dell’utente tra diverse sessioni.

Test e supporto
* Google ha testato una versione preliminare di DBSC in collaborazione con diverse piattaforme web (inclusa Okta).

* È stato osservato un significativo calo dei furti di sessione.

* Il protocollo è stato sviluppato in collaborazione con Microsoft come standard web aperto e approvato da esperti di sicurezza web.

Come i siti possono sfruttarlo
1. Aggiungi punti di registrazione e aggiornamento dei cookie di sessione che utilizzano DBSC al tuo backend.

2. Questo non influirà sul frontend esistente – la compatibilità viene mantenuta.

Le specifiche sono disponibili sul sito W3C, e una guida dettagliata all’implementazione può essere trovata nella documentazione Google e nei repository GitHub.

Conclusione: La nuova funzione di Chrome 146 offre una protezione più affidabile contro il furto di cookie‑sessione, collegandoli all’hardware dell’utente. Ciò rende i token rubati praticamente inutilizzabili quasi immediatamente e aumenta la sicurezza complessiva delle applicazioni web.