Google Chrome เปิดตัวฟีเจอร์ใหม่ Device Bound Session Credentials ป้องกันแฮ็กเกอร์ขโมย Cookie

Google ประกาศเปิดตัวฟีเจอร์ด้านความมั่นคงปลอดภัยใหม่บน Chrome เรียกว่า “Device Bound Session Credentials” ซึ่งจะทำหน้าที่ผูก Cookie เข้ากับอุปกรณ์ของผู้ใช้ ป้องกันไม่ให้แฮ็กเกอร์ขโมย Cookie ไปใช้เพื่อไฮแจ็คบัญชีของผู้ใช้

Cookie เป็นไฟล์ขนาดเล็กที่เว็บไซต์ใช้เพื่อจดจำข้อมูลการใช้เบราว์เซอร์และการตั้งค่าของผู้ใช้ รวมถึงช่วยล็อกอินเข้าใช้บริการต่างๆ โดยอัตโนมัติ Cookie เหล่านี้จะถูกสร้างขึ้นหลังจากที่ผู็ใช้ล็อกอินเข้าใช้บริการและยืนยันตัวตนเรียบร้อยแล้ว ทำให้สามารถทะลุผ่านการพิสูจน์ตัวตนได้ในอนาคต แม้จะเป็น Multi-factor Authentication ก็ตาม ถ้าแฮ็กเกอร์สามารถขโมย Cookie ของผู้ใช้ไปได้ ก็จะสามารถหลีกเลี่ยงการพิสูจน์ตัวตนและไฮแจ็คบัญชีของผู้ใช้ที่เชื่อมโยงอยู่ได้ทันที

เพื่อแก้ปัญหาการขโมย Cookie นี้ ทาง Google จึงได้พัฒนาฟีเจอร์ใหม่ เรียกว่า “Device Bound Session Credentials (DBSC)” ซึ่งจะทำหน้าที่ผูก Cookie ที่พิสูจน์ตัวตนแล้วเข้าด้วยกันกับอุปกรณ์ของผู้ใช้ผ่านการเข้ารหัส ทำให้แฮ็กเกอร์ไม่สามารถขโมย Cookie ออกไปได้

เมื่อผู้ใช้เปิดใช้งาน DBMS กระบวนการพิสูจน์ตัวตนจะถูกเชื่อมโยงกับคู่ Public/Private Keys ใหม่ ที่ถูกสร้างขึ้นโดยชิป Trusted Platform Module (TPM) บนอุปกรณ์ของผู้ใช้ ซึ่ง Keys ดังกล่าวจะถูกเก็บไว้อย่างมั่นคงปลอดภัยบนอุปกรณ์และไม่สามารถขโมยออกไปได้ หรือต่อให้แฮ็กเกอร์สามารถขโมย Cookie ออกไปได้ ก็ไม่สามารถนำไปใช้ประโยชน์อะไรได้อยู่ดี

ฟีเจอร์ DBSC เปิดให้ทดลองใช้งานแล้ว โดยผู้ใช้สามารถไปที่ chrome://flags/ บน Chrome แล้วเลือกเปิดใช้งานในหัวข้อ Device Bound Session Credentials ฟีเจอร์ดังกล่าวรองรับทั้งระบบปฏิบัติการ Windows, Linux และ macOS คาดว่าจะเปิดใช้งานจริงภายในสิ้นปี 2024 นี้ นอกจากนี้ Google ยังเตรียมนำฟีเจอร์ DBSC ไปใช้ใน Google Workspace และ Google Cloud อีกด้วย

ที่มา: https://www.bleepingcomputer.com/news/security/new-chrome-feature-aims-to-stop-hackers-from-using-stolen-cookies/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้