
Per anni il furto di cookie di sessione è stata una tecnica particolarmente efficace per rubare gli account degli utenti. Il motivo è semplice e brutale: un cookie di sessione già autenticato scavalca qualsiasi protezione a più fattori, perché rappresenta una sessione già validata. L'attaccante non ha bisogno di password né di codici temporanei. Ha bisogno solo di quel piccolo file di testo. Con Chrome 146, Google prova a chiudere questa scappatoia introducendo Device Bound Session Credentials (DBSC), un meccanismo che lega crittograficamente le credenziali di sessione al dispositivo fisico dell'utente. Un cookie rubato e trasferito su un'altra macchina diventa, in teoria, completamente inutilizzabile [continua..]
---
Cosa ne pensi? Lascia il tuo commento qui sotto.
