Dbsc

O Google anunciou a disponibilidade geral das Credenciais de Sessão Vinculadas a Dispositivos (DBSC) para usuários do Windows no navegador Chrome, após meses de testes em beta aberto. Essa funcionalidade, que visa combater o roubo de sessões, é especialmente relevante em um cenário onde o roubo de cookies de sessão se tornou uma ameaça comum. Os cookies de sessão, que permitem acesso a contas online, podem ser furtados por malwares que coletam informações do sistema, como os da família Infostealer. Com o DBSC, a autenticação é criptograficamente ligada a um dispositivo específico, utilizando módulos de segurança de hardware, como o Trusted Platform Module (TPM) no Windows. Isso significa que, mesmo que um cookie seja roubado, ele se tornará rapidamente inútil para os atacantes, pois a chave privada necessária para a autenticação não pode ser extraída do dispositivo. O Google observou uma redução significativa no roubo de sessões desde a implementação dessa tecnologia. A expansão para macOS está prevista para lançamentos futuros, e a empresa planeja integrar o DBSC em uma gama mais ampla de dispositivos, reforçando a segurança em ambientes corporativos.

A Google anunciou a implementação da proteção Device Bound Session Credentials (DBSC) na versão 146 do Chrome para Windows, com o objetivo de impedir que malwares que roubam informações, como os infostealers, capturem cookies de sessão. Essa nova funcionalidade, que será disponibilizada para usuários de macOS em uma versão futura ainda não anunciada, vincula criptograficamente a sessão do usuário ao hardware específico do dispositivo, utilizando chips de segurança como o Trusted Platform Module (TPM) no Windows e o Secure Enclave no macOS. Com isso, as chaves públicas e privadas geradas pelo chip de segurança não podem ser exportadas, tornando os dados de sessão roubados inúteis para os atacantes. A Google destaca que, sem a chave privada correspondente, qualquer cookie de sessão exfiltrado expira rapidamente, reduzindo significativamente o risco de acesso não autorizado. A empresa também observou uma diminuição notável nos eventos de roubo de sessão durante um ano de testes com o protocolo DBSC, desenvolvido em parceria com a Microsoft e outras plataformas da web. Os desenvolvedores web podem implementar essa nova proteção em seus sistemas, garantindo maior segurança sem comprometer a compatibilidade com as interfaces existentes.