Google ha iniziato a distribuire in modo più ampio una protezione pensata per ridurre uno dei metodi preferiti dai criminali informatici: il furto dei cookie di sessione. La novità riguarda Google Chrome e punta a rendere molto meno utile un token sottratto da un malware, impedendone il riutilizzo su un altro dispositivo.
Negli ultimi anni, infatti, i cookie rubati sono diventati una vera merce di scambio nel mercato criminale. In molti casi non servono più password o codici di verifica: basta una sessione già autenticata per entrare in account cloud, servizi aziendali e piattaforme SaaS, con effetti potenzialmente gravi per utenti e organizzazioni.
Google Chrome e la protezione contro i cookie di sessione
La tecnologia introdotta da Google si chiama Device Bound Session Credentials, o DBSC. L’idea è semplice: invece di trattare il cookie come un elemento trasferibile da un browser all’altro, Chrome lo associa crittograficamente al dispositivo su cui è stato effettuato l’accesso.
In pratica, il browser crea una coppia di chiavi di cifratura usando componenti di sicurezza del sistema. Su Windows, il meccanismo sfrutta il TPM, il chip hardware che conserva la chiave privata in forma non esportabile. Quando il sito deve verificare la sessione, il browser dimostra di possedere la chiave corretta.
Perché DBSC riduce il rischio di session hijacking
Se un malware riesce a rubare solo il cookie, ma non la chiave privata associata, quel token perde gran parte del suo valore. Il criminale non può più importarlo facilmente in un altro browser e assumere l’identità della vittima come accade nel classico attacco di session hijacking.
Google ha progettato DBSC in modo da non stravolgere la logica dei siti: il server continua a gestire la sessione, mentre Chrome aggiunge una prova crittografica del possesso della chiave. È una soluzione che mira a contrastare il cosiddetto “pass the cookie”, molto usato dagli infostealer moderni.
I limiti della nuova difesa e come verificarne l’attivazione
DBSC non è però una protezione assoluta. Se l’attaccante controlla direttamente il computer della vittima, può continuare a usare la sessione in locale. Inoltre, molti infostealer non rubano soltanto cookie: nei log finiscono spesso anche password salvate, token cloud, chiavi SSH, dati personali e altre informazioni sensibili.
Un altro limite è la compatibilità: per funzionare davvero, DBSC deve essere adottato anche dai siti web e dai provider di identità. Per capire se Chrome lo supporta e se un servizio lo utilizza, si può controllare la presenza del flag in chrome://flags oppure analizzare le richieste nella scheda Network degli Strumenti per sviluppatori, cercando segnali come Sec-Session-Google o riferimenti a Session-Binding.
In alternativa, Chrome offre anche chrome://net-export per registrare il traffico e verificare, con strumenti come Netlog Viewer, se compaiono eventi legati a device_bound, dbsc o bound_session. Il tutto resta salvato in locale. DBSC non elimina il problema dei furti di sessione, ma rappresenta un passo importante per rendere molto più difficile il riutilizzo dei cookie sottratti.
