Trudniejsze życie włamywaczy: Chrome zaszyfruje ciasteczka

W rozmowach o internetowych ciasteczkach, które za sprawą nowych regulacji UE stały się w minionym roku kwestią obecną w świadomości nawet tzw. Zwykłych Użytkowników, nie sposób pominąć kwestii bezpieczeństwa. Technologię tę wykorzystuje się przecież do sprawdzania stanu logowania do witryn (ciasteczka przechowują wówczas dane uwierzytelniające), czy do śledzenia przechodzenia internautów ze strony na stronę, a ataki typu XSS (cross-site scripting) czy CSRF (cross-site request forgery) od lat już pozwalają na ciasteczek przechwytywanie, z czasem katastrofalnymi konsekwencjami dla ofiar. I choć w teorii ciasteczka dysponują wszelkimi zabezpieczeniami, jakich mogłyby potrzebować (opcje domain, path i secure), to realia WWW znacznie utrudniają ich zastosowanie. Kilka tygodni temu deweloperzy Chromium doszli więc do wniosku, że trzeba skuteczniej chronić prywatne dane użytkownika zapisane w ciasteczkach.

Zarówno złośliwe oprogramowanie uruchomione zdalnie, jak i napastnicy majstrujący przy komputerze ofiary, mają dziś łatwy dostęp do ciasteczek. W wypadku Google Chrome wystarczy zajrzeć do katalogu danych użytkownika i poszukać tam bazy danych sqlite, której otworzenie nie jest niczym trudnym – biblioteki są pod ręką, interfejsy są dobrze opisane. Zagrożenie jest więc całkiem realne, a ochrona przed nim nie powinna być trudna, wystarczy ciasteczka zaszyfrować.y]

Odpowiednie łatki już się pojawiły w kodzie google'owej przeglądarki, i z tego co piszą deweloperzy, nie są zbyt kosztowne dla systemu pod kątem wydajności. Opóźnienia w wersji dla OS-a X wynieść miały ok. 1 ms (bez względu na rozmiar ciasteczka), w wersji dla Windows od 0,1 do 0,7 ms (w zależności od rozmiaru ciasteczka). Zaszyfrowane dane zapisywane są binarnie i przechowywane w bazie jako bloby. Zmiana dotknie tylko nowych ciasteczek, zapisanych po aktualizacji Chrome, dotychczasowe pozostaną niezaszyfrowane.

To, w jakim stopniu szyfrowanie ciasteczek zwiększy bezpieczeństwo użytkowników, zależy od scenariusza, w jakim są one wykorzystywane. Na pewno nie ochroni to przed przejęciem ciasteczek przez osoby, które uzyskały lokalny dostęp do maszyny, gdy użytkownik jest zalogowany. Jeśli więc np. policyjni technicy odpowiednio zabezpieczą komputer, będą wciąż mogli z niego przejąć wszystkie ciastka z loginami do internetowych serwisów.

W najbardziej popularnym scenariuszu ataku, w którym ciasteczka próbuje przejąć zainstalowane z zewnątrz malware, a dysk użytkownika nie jest zaszyfrowany, wprowadzone do Chrome łatki powinny jednak ochronić przed zagrożeniem – w najlepszym razie napastnik uzyska jedynie zaszyfrowane dane. Oczywiście najlepszym rozwiązaniem pozostaje szyfrowanie całego dysku i izolowanie od siebie aplikacji, jednak takie rozwiązania stosuje jedynie niewielki odsetek użytkowników, więc pomysł deweloperów Chrome'a jest całkiem rozsądny.

YaŁ dobreprogramz.pl