10 Saniyede Özet
Chrome 146 ile DBSC, Windows kullanıcıları için genel kullanıma açıldı.
Sistem oturumları aygıttaki donanım dayanaklı anahtarlarla eşleştiriyor.
Çalınan çerezler, ilgili özel anahtar olmadan kısa müddette işe yaramaz hale geliyor.
Korumanın çalışması için web servislerinin kendi tarafında DBSC takviyesi eklemesi gerekiyor; macOS sürümü ise şimdi yayında değil.
Chrome tarafında uzun müddettir en kritik açık noktalardan biri olan oturum çerezi hırsızlığı için yeni bir müdafaa katmanı devreye giriyor. Google, Device Bound Session Credentials isimli sistemi Windows’ta Chrome 146 ile genel kullanıma açtı. Bu yapı, oturum bilgisini sırf hesaba değil, direkt kullanılan aygıta da bağlıyor.
Bu değişiklik bilhassa infostealer tipi ziyanlı yazılımların çaldığı çerezlerle hesap ele geçirme zincirini zorlaştırıyor. Zira saldırgan artık çerezi kopyalasa bile, o oturumu doğrulayan özel anahtar olmadan öteki bir bilgisayarda birebir erişimi sürdüremiyor. macOS dayanağının de sonraki Chrome sürümlerinden birinde gelmesi bekleniyor.
DBSC’nin merkezinde, oturumun muhakkak bir aygıta kriptografik olarak bağlanması var. Chrome, giriş sırasında aygıt üzerinde bir açık anahtar ve özel anahtar çifti oluşturuyor. Windows tarafında bu anahtarlar TPM içinde korunuyor. macOS tarafında ise birebir iş için Secure Enclave kullanılıyor. Sunucu, kısa ömürlü oturum çerezini yenilemeden evvel tarayıcıdan bu özel anahtara sahiden sahip olduğunu kanıtlamasını istiyor. Böylelikle yalnızca çerezi ele geçirmek yetmiyor.
Buradaki kritik fark, hücumun mantığını bozması. Bugüne kadar saldırganlar, kullanıcı giriş yaptıktan sonra oluşan oturum çerezlerini ele geçirerek parola ve çok faktörlü kimlik doğrulama etabını fiilen atlayabiliyordu. Google’ın anlattığı yeni modelde ise çerez öbür makineye taşınsa bile gerekli özel anahtar aygıt dışına aktarılamadığı için o erişim süratli biçimde geçersiz hale geliyor.
Google, protokolün erken sürümünü geçen yıl boyunca sonlu biçimde kullandığını ve DBSC ile korunan oturumlarda oturum hırsızlığında bariz düşüş gördüğünü söylüyor. Bu da yeniliğin yalnızca teoride kalan bir güvenlik katmanı olmadığını, gerçek kullanımda da fark yarattığını gösteriyor.
Yine de bu sistem son kullanıcı tarafında tek başına otomatik bir mucize yaratmıyor. Web servislerinin DBSC’yi desteklemek için art uç tarafında kayıt ve yenileme uç noktaları eklemesi, ayrıyeten giriş akışına Secure-Session-Registration başlığını dahil etmesi gerekiyor. Google’ın verdiği bilgilere nazaran mevcut ön yüz yapısında büyük bir değişiklik gerekmiyor; Chrome kriptografi ve çerez döndürme işini art planda kendi üstleniyor.
Sistem her aygıtta birebir düzeyde donanım muhafazası sunmasa da desteklenmeyen donanımlarda standart davranışa geri dönüyor ve oturum akışını bozmuyor. Bir diğer kıymetli nokta da saklılık tarafı.
Google, her oturum için başka anahtar üretildiğini, bu sayede sitelerin kullanıcıyı aygıt bazında çapraz biçimde izlemesine kapı açılmadığını belirtiyor. Aktarılan bilgi de aygıt kimliği yerine sırf oturuma özel açık anahtarla hudutlu tutuluyor.