Компания Google запустила в открытое бета-тестирование технологию Device Bound Session Credentials (DBSC) для браузера Chrome на платформе Windows. Основная цель этой функции — защита пользователей от атак, связанных с кражей файлов cookie сессий. Технология привязывает сеанс аутентификации к конкретному устройству, что делает невозможным использование украденных cookie злоумышленниками на другом компьютере.
Файлы cookie сессий представляют собой небольшие файлы, которые веб-сайты используют для запоминания информации о пользователе и поддержания его входа в систему. Система DBSC обеспечивает целостность сессии, не позволяя злоумышленникам повторно использовать украденные данные для доступа к чужим аккаунтам. Прототип этой технологии был впервые представлен в апреле 2024 года.
По словам Энди Вена, старшего директора по управлению продуктами в Google Workspace, эти нововведения являются частью более широкой стратегии по укреплению безопасности для более чем 11 миллионов клиентов Workspace. Помимо DBSC, компания расширяет поддержку ключей доступа (passkeys), которая теперь стала общедоступной.
Для администраторов Google Workspace были добавлены расширенные элементы управления, позволяющие проводить аудит регистрации ключей доступа и ограничивать их использование только физическими ключами безопасности. Это повышает уровень контроля и защиты корпоративных аккаунтов.
В ближайшее время для избранных клиентов в закрытом бета-тестировании будет развернут приемник Shared Signals Framework (SSF). Эта система, основанная на стандарте OpenID, позволяет «передатчикам» и «приемникам» обмениваться важными сигналами безопасности практически в реальном времени. Такой обмен информацией, включая свойства устройства или данные пользователя, координирует реакцию на угрозы и усиливает совместную защиту.
Параллельно с этим элитная команда безопасности Google Project Zero, занимающаяся поиском уязвимостей нулевого дня, инициировала новую политику под названием «Прозрачность отчетности» (Reporting Transparency). Её задача — сократить «разрыв в исправлении уязвимостей на уровне поставщиков» — период времени между созданием исправления разработчиком и его фактической доставкой конечным пользователям производителями устройств.
В рамках этой пробной политики, курируемой Тимом Уиллисом из Project Zero, команда будет публично сообщать о факте обнаружения уязвимости в течение недели после уведомления поставщика. Будет раскрыта информация о поставщике или проекте с открытым исходным кодом, затронутом продукте, дате подачи отчета и дате истечения 90-дневного срока на исправление. При этом технические детали и код для демонстрации уязвимости (PoC) останутся скрытыми до истечения срока, чтобы не помогать злоумышленникам.
Новая политика уже применяется на практике. На данный момент под её действие попали две ошибки в Microsoft Windows, один дефект в Dolby Unified Decoder и три проблемы в Google BigWave. Этот же принцип будет распространен и на Big Sleep — агент на базе искусственного интеллекта для расширенного обнаружения уязвимостей, запущенный в прошлом году в сотрудничестве между DeepMind и Google Project Zero. Конечная цель этих мер — обеспечить своевременный выпуск исправлений для устройств, систем и сервисов конечных пользователей, укрепляя безопасность всей цифровой экосистемы.
Изображение носит иллюстративный характер
Файлы cookie сессий представляют собой небольшие файлы, которые веб-сайты используют для запоминания информации о пользователе и поддержания его входа в систему. Система DBSC обеспечивает целостность сессии, не позволяя злоумышленникам повторно использовать украденные данные для доступа к чужим аккаунтам. Прототип этой технологии был впервые представлен в апреле 2024 года.
По словам Энди Вена, старшего директора по управлению продуктами в Google Workspace, эти нововведения являются частью более широкой стратегии по укреплению безопасности для более чем 11 миллионов клиентов Workspace. Помимо DBSC, компания расширяет поддержку ключей доступа (passkeys), которая теперь стала общедоступной.
Для администраторов Google Workspace были добавлены расширенные элементы управления, позволяющие проводить аудит регистрации ключей доступа и ограничивать их использование только физическими ключами безопасности. Это повышает уровень контроля и защиты корпоративных аккаунтов.
В ближайшее время для избранных клиентов в закрытом бета-тестировании будет развернут приемник Shared Signals Framework (SSF). Эта система, основанная на стандарте OpenID, позволяет «передатчикам» и «приемникам» обмениваться важными сигналами безопасности практически в реальном времени. Такой обмен информацией, включая свойства устройства или данные пользователя, координирует реакцию на угрозы и усиливает совместную защиту.
Параллельно с этим элитная команда безопасности Google Project Zero, занимающаяся поиском уязвимостей нулевого дня, инициировала новую политику под названием «Прозрачность отчетности» (Reporting Transparency). Её задача — сократить «разрыв в исправлении уязвимостей на уровне поставщиков» — период времени между созданием исправления разработчиком и его фактической доставкой конечным пользователям производителями устройств.
В рамках этой пробной политики, курируемой Тимом Уиллисом из Project Zero, команда будет публично сообщать о факте обнаружения уязвимости в течение недели после уведомления поставщика. Будет раскрыта информация о поставщике или проекте с открытым исходным кодом, затронутом продукте, дате подачи отчета и дате истечения 90-дневного срока на исправление. При этом технические детали и код для демонстрации уязвимости (PoC) останутся скрытыми до истечения срока, чтобы не помогать злоумышленникам.
Новая политика уже применяется на практике. На данный момент под её действие попали две ошибки в Microsoft Windows, один дефект в Dolby Unified Decoder и три проблемы в Google BigWave. Этот же принцип будет распространен и на Big Sleep — агент на базе искусственного интеллекта для расширенного обнаружения уязвимостей, запущенный в прошлом году в сотрудничестве между DeepMind и Google Project Zero. Конечная цель этих мер — обеспечить своевременный выпуск исправлений для устройств, систем и сервисов конечных пользователей, укрепляя безопасность всей цифровой экосистемы.
