彭卡·赫里斯托夫斯卡
谷歌为 Chrome 浏览器开发了一项新的原型功能,旨在打击利用恶意软件窃取浏览器 cookie 和劫持在线帐户的黑客企图。
这项名为“设备绑定会话凭证”的新技术使用加密技术来阻止黑客通过窃取 cookie 来劫持登录会话。
互联网 cookie 是由您的网络浏览器存储在您计算机上的小文本文件。它们可以帮助网站记住您的偏好设置,例如登录详细信息,这样您就不必在每次访问时重新输入它们。然而,如果黑客用恶意软件感染您的计算机,这些 cookie 就会成为安全漏洞,因为他们可以轻松窃取这些 cookie 来访问您的在线帐户,而无需您的密码。
“像这样的 Cookie 盗窃发生在登录后,因此它绕过了双因素身份验证和任何其他登录时信誉检查,”谷歌软件工程师 Kristian Monsen 在博客文章中解释道。 “通过防病毒软件来缓解也很困难,因为即使在检测到并删除恶意软件后,被盗的 cookie 仍会继续工作。”
为了解决这个问题,Google 正在研究一种将身份验证 cookie“绑定”到用户 PC 的方法,该策略涉及将公钥加密与 cookie 结合起来。这意味着每当浏览器启动新的登录会话时,它都会在用户的 PC 上生成加密密钥。此密钥用于直接通过网站服务器确认登录是否合法,从而添加额外的安全层以阻止未经授权的访问。
为了确保加密密钥的安全,Google 计划将它们存储在 Windows PC 的可信平台模块 (TPM) 芯片中。该芯片专为保护加密密钥和验证操作系统的完整性而设计,现在它是运行 Windows 11 的必需条件。
然后,网站可以使用 API 来确认身份验证 cookie 的真实性,该 API 检查与登录会话关联的加密密钥的合法性,确保会话安全且经过授权。
“这确保了会话仍然在同一设备上,并按照服务器设置的定期时间间隔强制执行,”蒙森说。 “我们认为这将大大降低 cookie 盗窃恶意软件的成功率。攻击者将被迫在设备上进行本地操作,这使得设备上的检测和清理更加有效,无论是对于防病毒软件还是企业管理的设备。”
谷歌的目标是使该项目成为“开放网络标准”,增强网络上所有用户的安全性,并计划在 2024 年底之前准备好该技术的全面运行试验。
- :具有
- :是
- 10
- 11
- 2024
- 40
- a
- ACCESS
- 账户
- 横过
- 法案
- 添加
- 地址
- 后
- 针对
- 目标
- 所有类型
- 还
- an
- 和
- 杀毒软件
- 任何
- API
- 保健
- AS
- 相关
- At
- 尝试
- 认证
- 真实性
- 授权
- 头像
- BE
- 成为
- 阻止
- 博客
- 都
- 界
- 浏览器
- by
- CAN
- 支票
- 芯片
- 铬系列
- chrome浏览器
- 打击
- 战斗
- 一台
- 确认
- 继续
- 曲奇饼
- 资历
- 加密
- 加密技术
- 详情
- 检测
- 检测
- 发达
- 设备
- 设备
- 难
- 直接
- 别
- 容易
- 有效
- 加密
- 结束
- 强制执行
- 工程师
- 加强
- 确保
- 确保
- 保证
- 企业
- 甚至
- 所有的
- 介绍
- 额外
- 专栏
- 档
- 针对
- 强迫
- 止
- 充分
- 生成
- 谷歌
- 黑客
- 黑客
- 黑客
- 发生
- 有
- 有
- 帮助
- 劫持
- 但是
- HTTPS
- if
- in
- 结合
- 同修
- 诚信
- 推出
- 涉及
- 问题
- IT
- 键
- 键
- 层
- 合法
- 合法
- 喜欢
- 当地
- 登录
- 使
- 制作
- 恶意软件
- 管理
- 手段
- 减轻
- 模块
- 更多
- 命名
- 需要
- 全新
- 现在
- of
- on
- 在线
- 操作
- 操作系统
- 操作
- 其他名称
- 密码
- PC
- 计划
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 帖子
- 喜好
- 项目
- 原型
- 国家
- 公钥
- 率
- 准备
- 减少
- 定期
- 纪念
- 去除
- 声誉
- 需求
- 右
- 运行
- 保护
- 说
- 同
- 安全
- 保安
- 安全漏洞
- 服务器
- 会议
- 招生面试
- 集
- 自
- 小
- So
- 软件
- 软件工程师
- 标准
- 偷
- 仍
- 被盗
- 商店
- 存储
- 策略
- 基本上
- 成功
- 系统
- 专业技术
- 文本
- 这
- 盗窃
- 他们
- 然后
- 博曼
- 他们
- 认为
- Free Introduction
- 阻挠
- 次
- 至
- TPM
- 试用
- 信任
- 擅自
- 使用
- 用过的
- 用户
- 使用
- 运用
- 验证
- 通过
- 参观
- 漏洞
- 方法..
- 卷筒纸
- 网页浏览器
- 网页
- 您的网站
- 网站
- 井
- 每当
- 这
- 将
- 窗户
- 11窗口
- 中
- 也完全不需要
- 工作
- 加工
- 将
- 完全
- 您一站式解决方案
- 和风网