- 19,437
- 40
- 8 Ноя 2022
Хотел украсть чужую сессию? Теперь вам придётся украсть весь компьютер целиком.
Google расширяет границы безопасности с новой инициативой, Для просмотра ссылки Войдиили Зарегистрируйся бета-версию технологии Device Bound Session Credentials (DBSC) — функции, которая позволяет защитить пользователей от кражи сессионных cookies. Изначально представленная как прототип Для просмотра ссылки Войди или Зарегистрируйся , система теперь доступна в браузере Chrome на Windows и привязывает аутентификационные сессии к конкретному устройству. Это означает, что даже при краже cookies злоумышленник не сможет использовать их на другом компьютере.
По словам руководителя отдела управления продуктами Google Workspace, DBSC усиливает защиту после прохождения логина, блокируя возможность удалённой авторизации с другого устройства. Такая привязка предотвращает повторное использование cookie-файлов для захвата сессии и улучшает целостность авторизационных данных. Технология призвана укрепить защиту аккаунтов не только на момент входа, но и на всём протяжении работы с сервисами.
В дополнение к DBSC, Google объявила о расширении поддержки passkey-технологии — теперь ей могут воспользоваться более 11 миллионов корпоративных клиентов Google Workspace. Также были введены новые административные инструменты, позволяющие контролировать регистрацию ключей и ограничивать использование только аппаратными токенами.
Параллельно компания Для просмотра ссылки Войдиили Зарегистрируйся закрытое тестирование нового механизма обмена сигналами безопасности — Shared Signals Framework (SSF). Этот протокол, основанный на стандарте OpenID, предназначен для быстрой передачи информации о потенциальных инцидентах между различными системами. SSF создаёт архитектуру, в которой одни сервисы («передатчики») могут оперативно сообщать другим («приёмникам») о подозрительной активности, что даёт возможность мгновенно реагировать на угрозы и синхронизировать защитные меры.
Кроме того, подразделение Google Project Zero, специализирующееся на поиске уязвимостей нулевого дня, Для просмотра ссылки Войдиили Зарегистрируйся о запуске пилотной инициативы Reporting Transparency. Её цель — сократить промежуток между созданием исправления и его доступностью для конечных пользователей. Часто проблема возникает не на уровне пользователя, а у компаний, которые используют внешние компоненты — они не успевают интегрировать полученное исправление в свои продукты. Новый этап в процессе раскрытия уязвимостей предполагает публикацию информации о найденной проблеме в течение недели после её передачи разработчику.
В отчётах теперь будет указываться имя производителя или проекта, название продукта, дата отправки отчёта и крайний срок по 90-дневной политике раскрытия. В пилотный список уже попали две уязвимости в Windows, ошибка в декодере Dolby Unified Decoder и три бага в проекте Google BigWave.
Также Google планирует применить этот подход в проекте Big Sleep — экспериментальном ИИ-инструменте, разработанном совместно с DeepMind. Его задача — использовать искусственный интеллект для автоматизации поиска уязвимостей и ускорения анализа потенциальных угроз. При этом компания подчёркивает, что никаких технических подробностей, PoC-кода или материалов, которые могли бы быть полезны злоумышленникам, до окончания срока раскрытия публиковаться не будет.
Всё это отражает более широкий тренд Google — сосредоточение на проактивной, скоординированной и технологически продвинутой модели киберзащиты, направленной на минимизацию времени реакции на инциденты и повышение прозрачности в экосистеме программного обеспечения.
Google расширяет границы безопасности с новой инициативой, Для просмотра ссылки Войди
По словам руководителя отдела управления продуктами Google Workspace, DBSC усиливает защиту после прохождения логина, блокируя возможность удалённой авторизации с другого устройства. Такая привязка предотвращает повторное использование cookie-файлов для захвата сессии и улучшает целостность авторизационных данных. Технология призвана укрепить защиту аккаунтов не только на момент входа, но и на всём протяжении работы с сервисами.
В дополнение к DBSC, Google объявила о расширении поддержки passkey-технологии — теперь ей могут воспользоваться более 11 миллионов корпоративных клиентов Google Workspace. Также были введены новые административные инструменты, позволяющие контролировать регистрацию ключей и ограничивать использование только аппаратными токенами.
Параллельно компания Для просмотра ссылки Войди
Кроме того, подразделение Google Project Zero, специализирующееся на поиске уязвимостей нулевого дня, Для просмотра ссылки Войди
В отчётах теперь будет указываться имя производителя или проекта, название продукта, дата отправки отчёта и крайний срок по 90-дневной политике раскрытия. В пилотный список уже попали две уязвимости в Windows, ошибка в декодере Dolby Unified Decoder и три бага в проекте Google BigWave.
Также Google планирует применить этот подход в проекте Big Sleep — экспериментальном ИИ-инструменте, разработанном совместно с DeepMind. Его задача — использовать искусственный интеллект для автоматизации поиска уязвимостей и ускорения анализа потенциальных угроз. При этом компания подчёркивает, что никаких технических подробностей, PoC-кода или материалов, которые могли бы быть полезны злоумышленникам, до окончания срока раскрытия публиковаться не будет.
Всё это отражает более широкий тренд Google — сосредоточение на проактивной, скоординированной и технологически продвинутой модели киберзащиты, направленной на минимизацию времени реакции на инциденты и повышение прозрачности в экосистеме программного обеспечения.
- Источник новости
- www.securitylab.ru
