ملفات تعريف الارتباط ليست مجرد شيء تزعجك المواقع في كل مرة تزورها فيها بسبب اللائحة العامة لحماية البيانات. إنها إحدى الطرق الأساسية التي تستخدمها المواقع للتعرف على مستخدمين محددين، للأفضل أو للأسوأ. تعد سرقة ملفات تعريف الارتباط وانتحالها وسيلة شائعة لهجمات سرقة الهوية، ولهذا السبب يحاول تحديث Chrome الأخير الحفاظ على أمانها.
كما هو موضح في منشور مدونة Chromium هذا (الذي رصده Bleeping Computer)، فإن سرقة ملفات تعريف الارتباط الخاصة بالمصادقة الخاصة بالمستخدم عبر الهندسة الاجتماعية تسمح لشخص آخر بمحاكاة جلسة تسجيل الدخول من مكان بعيد.
مثال على السيناريو: تقوم بالنقر فوق رابط من “الرئيس التنفيذي” الخاص بك (رسالة بريد إلكتروني تصيدية ذات رأس مخادع)، مما يؤدي إلى تثبيت عملية في الخلفية تراقب متصفحك. يمكنك تسجيل الدخول إلى البنك الذي تتعامل معه، حتى باستخدام المصادقة الثنائية لمزيد من الأمان. تقوم العملية بتمرير الطهي النشط من متصفحك، بعد تسجيل الدخول، ويمكن لشخص آخر بعد ذلك التظاهر بأنه أنت باستخدام ملف تعريف الارتباط هذا لمحاكاة جلسة تسجيل الدخول النشطة.
حل Google للمشكلة هو بيانات اعتماد جلسة ربط الجهاز. تعمل الشركة على تطوير DBSC كأداة مفتوحة المصدر، على أمل أن تصبح معيار ويب مستخدم على نطاق واسع. الفكرة الأساسية هي أنه بالإضافة إلى ملف تعريف الارتباط للتتبع الذي يحدد المستخدم، يستخدم المتصفح بيانات إضافية لربط تلك الجلسة بجهاز معين – جهاز الكمبيوتر الخاص بك أو الهاتف – بحيث لا يمكن انتحالها بسهولة على جهاز آخر.
يتم تحقيق ذلك باستخدام مفتاح عام/خاص تم إنشاؤه بواسطة شريحة وحدة النظام الأساسي الموثوقة، أو TPM، والتي قد تتذكرها من التحول الكبير إلى Windows 11. تحتوي معظم الأجهزة الحديثة التي تم بيعها في السنوات القليلة الماضية على بعض الأجهزة التي أنجزت هذا، مثل Google شرائح Titan التي تم الترويج لها كثيرًا في هواتف Android وأجهزة Chromebook. من خلال السماح للخوادم الآمنة بربط نشاط المتصفح بوحدة TPM، يتم إنشاء جلسة وزوج جهاز لا يمكن تكرارهما بواسطة مستخدم آخر حتى لو تمكن من تمرير ملف تعريف الارتباط ذي الصلة.
إذا كنت مثلي، فقد يؤدي ذلك إلى إطلاق إنذار خصوصية في رأسك، خاصة عندما يأتي من شركة اضطرت مؤخرًا إلى حذف البيانات التي كانت تتعقبها من المتصفحات في وضع التصفح المتخفي. يستمر منشور مدونة Chromium في القول إن نظام DBSC لا يسمح بالارتباط من جلسة إلى أخرى، حيث أن كل اقتران بجهاز الجلسة فريد من نوعه. يقول كريستيان مونسن، عضو فريق Chrome: “المعلومات الوحيدة التي يتم إرسالها إلى الخادم هي المفتاح العام لكل جلسة والذي يستخدمه الخادم للتصديق على إثبات حيازة المفتاح لاحقًا”.
وتقول جوجل إن شركات المتصفحات والويب الأخرى مهتمة بهذه الأداة الأمنية الجديدة، بما في ذلك فريق Microsoft Edge وشركة إدارة الهوية Okta. تتم حاليًا تجربة DBSC في الإصدار 125 من Chrome (في إصدار Chrome Dev التجريبي الآن) والإصدارات الأحدث.