Google объявила о широкой доступности технологии Device Bound Session Credentials (DBSC) для пользователей браузера Chrome на Windows, начиная с версии Chrome 146. Это одно из наиболее заметных обновлений в области защиты сессий за последние годы, нацеленное на снижение эффективности атак, связанных с кражей cookies и угоном аккаунтов.
Кража сессий: почему украденные cookies остаются одним из самых опасных инструментов
Кража сессий (session hijacking) — одна из ключевых проблем современной веб-безопасности. Механизм прост: злоумышленники похищают сессионные cookies из браузера жертвы и используют их, чтобы получить доступ к аккаунтам без знания пароля или прохождения двухфакторной аутентификации.
На практике это чаще всего происходит через вредоносное ПО класса info-stealer, которое пользователь незаметно загружает вместе с пиратским софтом, «кряками» или вложениями из фишинговых писем. Известные семейства таких стилеров — Atomic Stealer, Lumma, Vidar Stealer и десятки других — специализируются на сборе:
— cookies и токенов сессий;
— сохранённых паролей;
— данных автозаполнения и браузерной истории;
— криптокошельков и иных чувствительных данных.
Похищенные сессионные токены часто имеют длительный срок жизни, что позволяет злоумышленнику неделями и месяцами заходить в аккаунты жертв, минуя все защитные механизмы входа. Эти данные затем упаковываются и продаются на подпольных площадках, где другие киберпреступники используют их для компрометации почты, облачных сервисов, банковских и корпоративных аккаунтов.
Как работает Device Bound Session Credentials в Google Chrome
DBSC был впервые анонсирован Google в апреле 2024 года и нацелен на то, чтобы сделать украденные cookies бесполезными, если они извлечены с заражённого устройства. Ключевая идея — криптографически «привязать» сессию к конкретному устройству.
Аппаратно защищённые ключи: TPM и Secure Enclave
Механизм DBSC использует аппаратно защищённые модули безопасности: на Windows это Trusted Platform Module (TPM), на macOS — Secure Enclave. На таких модулях генерируется уникальная пара ключей публичный/приватный, причём приватный ключ никогда не покидает устройство и не может быть экспортирован.
Когда пользователь проходит аутентификацию, браузер Chrome запрашивает у сервера не просто обычные cookies, а сессионные токены, связанные с этой криптографической парой. Публичный ключ выступает в роли маркера, подтверждающего, что браузер обладает соответствующим приватным ключом, физически «запертым» в TPM или Secure Enclave.
Короткоживущие cookies и проверка владения ключом
DBSC меняет принцип выдачи сессионных cookies: каждый новый краткоживущий cookie выдаётся только после того, как Chrome докажет серверу владение приватным ключом. Проверка строится на стандартных криптографических протоколах, когда сервер убеждается, что браузер может корректно подписать или расшифровать данные.
Для злоумышленника это означает следующее: даже если info-stealer вытащит cookies из браузера и отправит их на удалённый сервер, эти токены очень быстро протухнут и не смогут быть обновлены, так как у атакующего нет доступа к приватному ключу на устройстве жертвы.
Если устройство не поддерживает безопасное хранение ключей, DBSC корректно откатывается к обычному поведению, не ломая процесс аутентификации. Это важно для совместимости и постепенного распространения технологии.
Внедрение DBSC в Chrome 146 и планы расширения
На текущем этапе DBSC включён для всех пользователей Google Chrome на Windows с версией 146. Расширение поддержки на macOS запланировано в одном из ближайших релизов браузера. Google отмечает, что с начала тестирования в открытой бете компания уже наблюдает заметное снижение успешных случаев кражи сессий, что свидетельствует об эффективности подхода.
Технология реализуется как на стороне браузера, так и на стороне серверных приложений, которые должны поддерживать новый стандарт работы с сессионными токенами. По мере того как больше крупных сервисов будут внедрять DBSC, эффект для экосистемы будет только расти, особенно в корпоративном сегменте, где сессионные токены часто открывают доступ к критическим ресурсам.
Приватность, открытый стандарт и значение для бизнеса
Google разрабатывала Device Bound Session Credentials совместно с Microsoft, с прицелом на превращение DBSC в открытый веб-стандарт. Это важно не только для Chrome, но и для перспективной поддержки в других браузерах и продуктах.
Особый акцент сделан на защите приватности и предотвращении трекинга. Архитектура DBSC спроектирована так, чтобы:
— сайты не могли использовать сессионные креденшлы для отслеживания активности пользователя между различными сайтами или сессиями на одном устройстве;
— сервер получал минимум информации — по сути только публичный ключ для подтверждения владения, без устойчивых идентификаторов устройства и аттестационных данных;
— DBSC не работал как механизм «цифрового отпечатка устройства» и не усиливал возможности кросс-сайт трекинга.
Для компаний это означает редкую комбинацию: усиление защиты от кражи сессий без ухудшения приватности пользователей. Это особенно актуально в контексте растущих требований регуляторов к защите данных и прозрачности обработки информации.
На фоне массового распространения info-stealer’ов и торговли сессионными токенами на подпольных рынках, внедрение DBSC можно рассматривать как одно из наиболее практичных и технологически выверенных решений по защите веб-сессий. Организациям имеет смысл уже сейчас:
— оценить совместимость своих веб-приложений с DBSC и планировать поддержку стандарта;
— усилить контроль за вредоносными загрузками и атаками стилеров на рабочих станциях;
— обновить политики безопасности браузеров и обучить пользователей важности обновлений Chrome до актуальных версий.
В перспективе широкое принятие Device Bound Session Credentials способно существенно снизить ценность украденных cookies на криминальном рынке и усложнить киберпреступникам жизнь. Пользователям и компаниям стоит внимательно следить за развитием стандарта, своевременно обновлять браузеры и по возможности включать поддержку DBSC в своих сервисах — это один из немногих механизмов, который напрямую бьёт по экономике атак, основанных на краже сессий.
