Chrome的最新功能阻止了窃取Cookie的黑客

文章编号:2429 综合杂烩 2024-06-17 快马论坛网

文章:《Chrome的最新功能阻止了窃取Cookie的黑客》_配图

Cookie不仅仅是网站因为GDPR而不得不在你每次访问它们的#$%&时间上惹恼你的东西。它们是网站识别特定用户的最基本的方法之一,无论是好是坏。窃取和欺骗这些Cookie是身份盗窃攻击的流行媒介,这就是什么最新的Chrome更新试图确保它们的安全。

正如这篇Chromium博客文章(被蜂鸣的电脑发现)所解释的那样,通过社交工程窃取用户的身份验证Cookie可以让其他人从远程位置模拟登录会话。

一个示例场景:您点击来自您的“CEO”(带有欺骗标题的钓鱼电子邮件)的链接,这将安装一个监视您的浏览器的后台进程。您可以登录到您的银行,即使使用双因素身份验证也能获得额外的安全性。该过程在登录后从您的浏览器上滑动活动的烹饪,然后其他人可以伪装成您使用该Cookie来模拟活动的登录会话。

谷歌对这个问题的解决方案是设备绑定会话凭据。该公司正在开发DBSC作为一个开源工具,希望它能成为一个广泛使用的网络标准。其基本思想是,除了识别用户的跟踪cookie外,浏览器还使用额外的数据将该会话与特定设备–您的电脑或手机–关联起来,这样它就不会轻易在另一台机器上被欺骗。

这是通过可信平台模块芯片(TPM)创建的公钥/私钥来实现的,你可能还记得从向Windows 11的重大过渡中产生的公钥/私钥。过去几年销售的大多数现代设备都有一些实现这一功能的硬件,比如谷歌在Android手机和Chromebook上大力推广的Titan芯片。通过允许安全服务器将浏览器活动绑定到TPM,它创建了一个会话和设备对,即使另一个用户设法刷到了相关的cookie,也无法复制该会话和设备对。

如果你像我一样,这可能会在你的脑海中触发隐私警报,特别是来自一家最近不得不在隐姓埋名模式下从浏览器中删除跟踪数据的公司。Chromium的博客文章接着说,DBSC系统不允许从一个会话关联到另一个会话,因为每个会话-设备配对都是唯一的。Chrome团队成员克里斯蒂安·蒙森说:“发送给服务器的唯一信息是每个会话的公钥,服务器随后用它来证明密钥拥有的证据。”

谷歌表示,其他浏览器和网络公司对这一新的安全工具感兴趣,包括微软的Edge团队和身份管理公司Okta。DBSC目前正在Chrome版本125(预测试版Chrome Dev版本)及更高版本上进行测试。

外链关键词:  专升本山西酒店管理  qq女生头像大全  17岁女生照片  新款大捷龙  汽修大专升本科要考哪几科  万斯鞋怎么样  服务员岗位职责是什么  姜字拼音 
本文地址: https://www.q16k.com/article/a585aa30606174757a9a.html
资源狗

资源网站大全专注搜寻全网精品资源网站,涵盖新闻资讯、高清视频、HIFI音乐、学习考试、论坛社区、IT教程、VIP帐号、设计素材等多方面的精品资源,打造网络精品资源网址导航。

侨务干部在线学习网

该站点未添加描述description...

该站点未添加描述description...

天津滨海新区危化品爆炸实时新闻

天津爆炸事故,天津塘沽爆炸事故,危化品爆炸,危化品,天津爆炸

百度翻译开放平台

百度翻译开放平台提供通用文本翻译API、垂直领域翻译API、文档翻译API、图片翻译API及语音翻译API产品,并提供定制化、私有化服务,全面满足开发者的翻译需求。

经营小游戏,经营小游戏合集

4399xyx小游戏提供:经营下载与试玩,如果您经营,可以下载各类经营方便您以后玩,同时祝您游戏愉快!

CCTV

该站点未添加描述description...

东盟海产品交易市场

该站点未添加描述description...

获取账单详情

该站点未添加描述description...

中国汽车质量网

中国汽车质量网是官方专业汽车质量投诉平台,中国汽车质量网致力于为用户提供便捷高效的汽车投诉解决方案。在内容上客观精准的传递资讯信息,为用户提供优秀的浏览体验并可以快速获取价值信息。

阅读小说网

该站点未添加描述description...

热门手游排行榜

96U手游网,发现好玩的手机游戏,为玩家提供安卓、iOS游戏更新与下载,并由玩家下载喜好度推出热门手游排行榜,同时为广大手游玩家提供热门手游攻略、评测、软件下载等综合服务。

暨阳网

江阴本地网络媒体,江阴人的骄傲。提供江阴综合信息资源,是了解江阴、互动江阴、共建江阴的好渠道。

轩辕

该站点未添加描述description...

微思敦

10年社交生态营销实战,400位营销精英,只为成就1个好品牌。

集景堂

该站点未添加描述description...