جوجل ألغت ثغرة في كروم، مما جعل ملفات تعريف الارتباط المسروقة غير فعّالة

أضافت جوجل حماية ضد سرقة ملفات تعريف الارتباط (كوكيز الجلسة) في Chrome 146

*التقنية الجديدة – Device Bound Session Credentials (DBSC) – تربط تشفيرياً جلسات المستخدمين النشطة بأجهزة أجهزتهم.*

ما الذي تغير
المنصة كيف تعمل الحماية Windows تستخدم وحدة Trusted Platform Module (TPM). يولد الشريحة مفاتيح فريدة لا يمكن تصديرها. تُصدر ملفات تعريف الارتباط الجلسة الجديدة فقط بعد تأكيد Chrome امتلاك المفتاح الخاص. macOS ستضاف الحماية في أحد التحديثات المستقبلية للمتصفح عبر Secure Enclave – مماثل لـ TPM.

كيف يعمل ذلك
1. عند إنشاء جلسة جديدة، يُنشئ Chrome مفتاحاً عاماً/خاصة مرتبطًا بشريحة الأمان.
2. يتلقى الخادم فقط المفتاح العام ويستخدمه لتشفير ملف تعريف الارتباط الجلسة.
3. للحصول على البيانات، يجب أن يثبت العميل امتلاك المفتاح الخاص – وهذا ممكن فقط على نفس الجهاز.
4. إذا سرق المهاجم ملف تعريف الارتباط لكنه لا يمتلك الوصول إلى الشريحة، تصبح الجلسة غير صالحة فورًا.

لماذا هذا مهم
* ملفات تعريف الارتباط الجلسية هي رموز مصادقة تسمح للمستخدم بالدخول إلى الخدمات دون إعادة إدخال كلمة المرور.
* البرامج الضارة (الإفتراضية) مثل LummaC2 تقرأ هذه الملفات وذاكرة المتصفح لسرقة البيانات.
* طرق الحماية البرمجية ليست دائمًا فعالة – إذا حصل المهاجم على وصول للآلة، يمكنه الحصول على ملفات تعريف الارتباط بأي تعقيد.
DBSC يقلل تبادل البيانات: يُرسل فقط المفتاح العام إلى الخادم ويظل معرف الجهاز مخفيًا. كل جلسة محمية بمفتاح منفصل، مما يمنع تتبع نشاط المستخدم بين الجلسات المختلفة.

الاختبار والدعم
* اختبرت جوجل النسخة المبكرة من DBSC مع عدة منصات ويب (بما في ذلك Okta).
* لوحظ انخفاض ملحوظ في سرقات الجلسة.
* تم تطوير البروتوكول بالتعاون مع Microsoft كمعيار ويب مفتوح وحصل على موافقة خبراء أمان الويب.

كيف يمكن للمواقع الاستفادة
1. أضف نقاط تسجيل وتحديث ملفات تعريف الارتباط الجلسية التي تستخدم DBSC إلى خلفيتك.
2. لن يؤثر ذلك على واجهة المستخدم الحالية – التوافق محفوظ.

المواصفات متاحة على موقع W3C، ويمكن العثور على دليل تفصيلي للتنفيذ في وثائق جوجل ومستودعات GitHub.

النتيجة: ميزة Chrome 146 الجديدة توفر حماية أكثر موثوقية ضد سرقة ملفات تعريف الارتباط الجلسة، ربطها بمعدات المستخدم. هذا يجعل الرموز المسروقة عديمة الفائدة تقريبًا على الفور ويعزز الأمان العام لتطبيقات الويب.

جوجل ألغت ثغرة في كروم، مما جعل ملفات تعريف الارتباط المسروقة غير فعّالة

Related news

جوجل جيميني جمعت 750 مليون مستخدم نشط شهريًا، تاركةً شات جي بي تي على مسافة قصيرة فقط من القائد.

قدمت Nothing نسخة تجريبية من Essential Apps – منصة لإنشاء تطبيقات صغيرة باستخدام الذكاء الاصطناعي

أوضحت مايكروسوفت سبب حظر حسابات VeraCrypt وغيرها من الخدمات المفتوحة، وهو بسبب إهمال منشئيها

تحتل تطبيق Meta✴ AI المرتبة الخامسة في متجر التطبيقات بعد إطلاق Muse Spark

التعليقات (0)

سجّل الدخول للتعليق

جوجل ألغت ثغرة في كروم، مما جعل ملفات تعريف الارتباط المسروقة غير فعّالة

Related news

جوجل جيميني جمعت 750 مليون مستخدم نشط شهريًا، تاركةً شات جي بي تي على مسافة قصيرة فقط من القائد.

قدمت Nothing نسخة تجريبية من Essential Apps – منصة لإنشاء تطبيقات صغيرة باستخدام الذكاء الاصطناعي

أوضحت مايكروسوفت سبب حظر حسابات VeraCrypt وغيرها من الخدمات المفتوحة، وهو بسبب إهمال منشئيها

تحتل تطبيق Meta✴ AI المرتبة الخامسة في متجر التطبيقات بعد إطلاق Muse Spark

سجّل الدخول للتعليق

قدمت Nothing نسخة تجريبية من Essential Apps – منصة لإنشاء تطبيقات صغيرة باستخدام الذكاء الاصطناعي

تحتل تطبيق Meta✴ AI المرتبة الخامسة في متجر التطبيقات بعد إطلاق Muse Spark