¿Cómo previene DBSC el robo de cookies?
La API DBSC permitirá que un sitio web le indique al navegador que inicie una nueva sesión y genere un par de claves públicas y privadas para esa sesión. Luego, el navegador registrará la clave pública en el sitio web utilizando una ruta de punto final especificada por el sitio web y el sitio web responderá con cookies de corta duración que ahora están asociadas con esa clave pública.
La diferencia es que el sitio web puede solicitar periódicamente al navegador una prueba de que tiene la clave privada que forma parte del par de claves pública y privada pidiéndole que firme una verificación. Luego, la firma de verificación se verifica utilizando la clave pública que se registró en el servidor cuando se creó la sesión.
Esta clave privada necesaria para firmar el desafío se almacena de forma segura y las operaciones que la involucran se realizan a través del TPM de la computadora, que tiene una memoria dedicada a la que no se puede acceder desde el sistema operativo. Esto significa que las claves se mantienen a salvo de robos incluso en caso de que el sistema se vea comprometido.
Los chips TPM han estado disponibles durante mucho tiempo en computadoras y portátiles empresariales para admitir autenticación y cifrado de disco seguro, pero ahora son cada vez más comunes en todo tipo de PC porque la presencia de un chip TPM 2.0 es un requisito para instalar Windows 11. Estudios realizados por El equipo de Chrome sugiere que actualmente más del 60% de los usuarios tienen un chip de este tipo en sus computadoras y se espera que la cifra aumente.
TPM presenta una amenaza potencial para DBSC
El problema con los TPM, sin embargo, es que tienden a tener una latencia alta (las operaciones no son rápidas) y tienen una potencia de procesamiento limitada, lo que significa que no pueden manejar muchas operaciones simultáneas. Algunos usuarios ya han planteado la cuestión de posibles ataques de denegación de servicio realizados por dominios y subdominios maliciosos contra TPM a través de esta función al solicitar la generación y validación de claves para una gran cantidad de sesiones al mismo tiempo.
Los ingenieros de Chrome respondieron que ya tienen en mente un mecanismo de cola de priorización y están explorando otras protecciones para mitigar esa amenaza.
Fuente Original CSO Online
