A Google implementou uma novidade de peso no Chrome 146 para Windows, desenhada especificamente para combater um dos maiores pesadelos da cibersegurança atual: o roubo de cookies de sessão. A partir de agora, esta funcionalidade enlaça as tuas credenciais de acesso diretamente aos componentes físicos do teu computador, garantindo que os piratas informáticos não conseguem utilizar os teus dados numa máquina diferente.
Como funciona o novo cofre de segurança do navegador
A tecnologia dá pelo nome de Device Bound Session Credentials (DBSC) e resolve uma falha crítica que o software tradicional não conseguia contornar. Os cookies de sessão funcionam como um passe livre que te permite navegar em serviços online sem teres de colocar a palavra-passe constantemente. No entanto, ferramentas maliciosas como o LummaC2 focam-se precisamente em roubar estes ficheiros de autenticação para contornar qualquer ecrã de início de sessão.
Com o DBSC, o processo muda de figura. A sessão do utilizador passa a estar ancorada ao Trusted Platform Module (TPM), o chip de segurança dedicado do computador. Quando uma sessão é criada, este hardware gera um par de chaves criptográficas únicas. Como a chave privada é impossível de extrair do dispositivo físico, qualquer cookie que seja desviado por malware torna-se completamente inútil. Sem a prova física de que a chave privada está presente, os servidores rejeitam as credenciais roubadas de imediato.
Privacidade garantida e o que falta para a adoção total
A Google garante que este reforço de segurança não compromete a privacidade dos utilizadores. Desenvolvido em parceria com a Microsoft como um padrão web aberto desde o seu anúncio inicial em 2024, o protocolo cria uma chave única por cada sessão. Isto significa que os sites não conseguem cruzar informações para rastrear a tua atividade na internet, e nenhum identificador do próprio dispositivo é partilhado com plataformas de terceiros.
A transição para este novo modelo já está em marcha, com as especificações oficiais publicadas no consórcio W3C. Para que a proteção tenha efeito, os vários sites apenas precisam de adicionar pontos de registo e atualização nos seus servidores, sem necessidade de alterar o código visível para o utilizador. A solução foi testada de forma intensiva no último ano em plataformas como a Okta, com resultados muito positivos na redução do roubo de sessões.
Embora a funcionalidade já esteja ativa na versão 146 do navegador da Google no ecossistema da Microsoft, a comunidade Apple terá de esperar mais algum tempo. A empresa confirmou que a integração com o Secure Enclave do macOS está planeada, mas ainda não anunciou uma data ou versão específica para a sua chegada.
Nenhum comentário
Seja o primeiro!