Google introduce le Device Bound Session Credentials in open beta
Google ha annunciato l’apertura della beta per una nuova funzionalità di sicurezza chiamata Device Bound Session Credentials (DBSC), progettata per proteggere gli utenti da attacchi di furto di cookie di sessione. Introdotta inizialmente come prototipo nell’aprile 2024, DBSC mira a legare le sessioni di autenticazione a un dispositivo specifico, impedendo così ai malintenzionati di utilizzare cookie rubati per accedere ai conti delle vittime da un dispositivo diverso sotto il loro controllo.
Disponibile nel browser Chrome su Windows, DBSC rafforza la sicurezza dopo il login e aiuta a legare un cookie di sessione – piccoli file utilizzati dai siti web per ricordare le informazioni degli utenti – al dispositivo da cui l’utente si è autenticato, come spiegato da Andy Wen, direttore senior della gestione dei prodotti di Google Workspace. Questa funzionalità non solo protegge gli account degli utenti dopo l’autenticazione, ma rende anche molto più difficile per i malintenzionati riutilizzare i cookie di sessione, migliorando l’integrità della sessione.
Supporto per le passkey e framework di segnali condivisi
Google ha inoltre annunciato che il supporto per le passkey è ora disponibile per oltre 11 milioni di clienti di Google Workspace, insieme a controlli amministrativi ampliati per verificare l’iscrizione e limitare le passkey a chiavi di sicurezza fisiche. Inoltre, l’azienda intende lanciare un ricevitore per il framework di segnali condivisi (SSF) in una beta chiusa per clienti selezionati, al fine di abilitare lo scambio di segnali di sicurezza cruciali in tempo quasi reale utilizzando lo standard OpenID.
Questo framework funge da sistema robusto per consentire ai “trasmettitori” di informare prontamente i “ricevitori” su eventi significativi, facilitando una risposta coordinata alle minacce alla sicurezza. Oltre al rilevamento e alla risposta alle minacce, la condivisione dei segnali consente anche la condivisione generale di diverse proprietà, come le informazioni sul dispositivo o sull’utente, migliorando ulteriormente la postura di sicurezza complessiva e i meccanismi di difesa collaborativa.
Trasparenza nella segnalazione di Google Project Zero
Nel frattempo, Google Project Zero, un team di sicurezza all’interno dell’azienda incaricato di individuare vulnerabilità zero-day, ha annunciato una nuova politica di prova chiamata Reporting Transparency per affrontare quello che è stato descritto come un divario di patch a monte. Mentre il divario di patch si riferisce tipicamente al periodo di tempo tra il rilascio di una correzione per una vulnerabilità e l’installazione dell’aggiornamento appropriato da parte dell’utente, il divario di patch a monte denota il lasso di tempo in cui un fornitore a monte ha una correzione disponibile ma i clienti a valle non hanno ancora integrato la patch e distribuito agli utenti finali.
Per colmare questo divario, Google ha dichiarato di voler aggiungere un nuovo passaggio in cui intende condividere pubblicamente la scoperta di una vulnerabilità entro una settimana dalla sua segnalazione al fornitore pertinente. Queste informazioni dovrebbero includere il fornitore o il progetto open-source che ha ricevuto la segnalazione, il prodotto interessato, la data in cui è stata presentata la segnalazione e quando scade il termine di divulgazione di 90 giorni. L’elenco attuale include due bug di Microsoft Windows, un difetto nel Dolby Unified Decoder e tre problemi in Google BigWave.
Considerazioni finali
Dal nostro punto di vista, l’introduzione delle Device Bound Session Credentials rappresenta un passo significativo verso una maggiore sicurezza online. In un’epoca in cui le minacce informatiche sono in costante evoluzione, è fondamentale che le aziende come Google continuino a innovare e a fornire strumenti che proteggano gli utenti. La trasparenza nella segnalazione delle vulnerabilità e il supporto per le passkey sono ulteriori dimostrazioni dell’impegno di Google nel garantire un ambiente digitale più sicuro. Riteniamo che queste iniziative non solo rafforzino la fiducia degli utenti, ma promuovano anche una cultura di sicurezza condivisa tra le aziende e i loro clienti.
Fonte: The Hackers News
