Google heeft aangekondigd dat het een beveiligingsfunctie maakt genaamd Device Bound Session Credentials (DBSC) In open bèta om ervoor te zorgen dat gebruikers worden beschermd tegen sessie -cookie -diefstalaanvallen.
DBSC, voor het eerst geïntroduceerd als een prototype in april 2024, is ontworpen om authenticatiesessies aan een apparaat te binden om te voorkomen dat bedreigingsactoren gestolen cookies gebruiken om zich aan te melden bij de accounts van slachtoffers en ongeautoriseerde toegang te krijgen van een afzonderlijk apparaat onder hun controle.
“Beschikbaar in de Chrome -browser op Windows, DBSC versterkt de beveiliging nadat u bent aangemeld en helpt bij het binden van een sessiecookie – kleine bestanden die door websites worden gebruikt om gebruikersinformatie te onthouden – aan het apparaat waar een gebruiker een gebruiker uit is,” zei Andy Wen, senior directeur van productbeheer bij Google Workspace.
DBSC is niet alleen bedoeld om gebruikersaccounts na de authenticatie te beveiligen. Het maakt het voor slechte acteurs een stuk moeilijker om sessiecookies opnieuw te gebruiken en verbetert de integriteit van de sessie.
Het bedrijf merkte ook op dat Passkey -ondersteuning nu over het algemeen beschikbaar is voor meer dan 11 miljoen Google -werkruimte -klanten, samen met uitgebreide beheerderscontroles om inschrijving te controleren en Passkeys te beperken tot fysieke beveiligingssleutels.
Ten slotte is Google van plan om een gedeelde Signals Framework (SSF) ontvanger in gesloten bèta voor geselecteerde klanten uit te rollen om de uitwisseling van cruciale beveiligingssignalen in bijna realtime mogelijk te maken met behulp van de OpenID-standaard.
“Dit framework fungeert als een robuust systeem voor ‘zenders’ om ‘ontvangers’ onmiddellijk te informeren over belangrijke gebeurtenissen, waardoor een gecoördineerde reactie op beveiligingsbedreigingen wordt vergemakkelijkt,” zei Wen.
“Naast dreigingsdetectie en respons maakt signaaluitwisseling ook het algemene delen van verschillende eigenschappen, zoals apparaat- of gebruikersinformatie, mogelijk, waardoor de algehele beveiligingshouding en samenwerkingsmechanismen van samenwerking verder worden verbeterd.”
Google Project Zero onthult het rapporteren van transparantie
De ontwikkeling komt als Google Project Zero, een beveiligingsteam binnen het bedrijf dat belast is met het jagen op zero-day kwetsbaarheden, heeft een nieuw proefbeleid aangekondigd met de naam rapportage transparantie om aan te pakken wat is beschreven als een stroomopwaartse patch gap.
Hoewel Patch Gap meestal verwijst naar de tijdsperiode tussen wanneer een oplossing wordt vrijgegeven voor een kwetsbaarheid en een gebruiker de juiste update installeert, geeft de stroomopwaartse patch gap de tijdspan aan waarbij een stroomopwaartse leverancier een fix heeft die beschikbaar is, maar stroomafwaartse klanten moeten de patch nog integreren en deze naar eindgebruikers verzenden.
Om deze upstream -patch -app te sluiten, zei Google dat het een nieuwe stap toevoegt waarin het van plan is om de ontdekking van een kwetsbaarheid binnen een week na het melden van de relevante leverancier publiekelijk te delen.
Deze informatie zal naar verwachting het leverancier of open-source project omvatten dat het rapport, het getroffen product heeft ontvangen, de datum waarop het rapport is ingediend en wanneer de 90-daagse openbaarmakingsdeadline verloopt. De huidige lijst bevat twee Microsoft Windows -bugs, één fout in Dolby Unified Decoder en drie problemen in Google Bigwave.
“Het primaire doel van deze proef is om de stroomopwaartse patch gap te verkleinen door de transparantie te vergroten,” zei Tim Willis van Project Zero. “Door een vroeg signaal te geven dat een kwetsbaarheid stroomopwaarts is gemeld, kunnen we stroomafwaartse afhankelijke personen beter informeren. Voor onze kleine reeks problemen hebben ze een extra informatiebron om te controleren op problemen die hun gebruikers kunnen beïnvloeden.”
Google zei verder dat het van plan is om dit principe toe te passen op Big Sleep, een kunstmatige intelligentie (AI) agent die vorig jaar werd gelanceerd als onderdeel van een samenwerking tussen Deepmind en Google Project Zero om de ontdekking van de kwetsbaarheid te vergroten.
De zoekbezoeking benadrukte ook dat geen technische details, proof-of-concept-code of andere informatie die slechte actoren tot de deadline kan worden vrijgegeven.
Met de nieuwste aanpak zei Google Project Zero dat het hoopt de naald te verplaatsen bij het vrijgeven van patches naar de apparaten, systemen en diensten die door eindgebruikers op tijd zijn gebaseerd en het algemene beveiligingsecosysteem versterken.
