Google Chrome: attiva la protezione contro gli infostealer
Topic
Approfondimenti
Trending
tutti

Google Chrome: attiva la protezione contro gli infostealer

A partire da Chrome 146 per Windows è disponibile una funzionalità che sfrutta la crittografia per impedire il furto dei cookie di sessioni da Chrome.
Google Chrome: attiva la protezione contro gli infostealer
Sicurezza App e Software Browser
A partire da Chrome 146 per Windows è disponibile una funzionalità che sfrutta la crittografia per impedire il furto dei cookie di sessioni da Chrome.
Google AI Studio

Google ha comunicato che la nuova funzionalità Device Bound Session Credentials (DBSC) è attiva a partire da Chrome 146 per Windows e arriverà anche su macOS con le prossime versioni del browser. È una protezione contro il furto dei cookie di sessione, effettuato tramite infostealer, che consente di prendere il controllo degli account.

Come funziona la protezione DBSC

La funzionalità era stata annunciata esattamente un anno fa. Molti infostealer possono rubare i cookie di sessione dal browser consentendo ai cybercriminali di accedere all’account senza usare le credenziali. Dato che i cookie hanno una lunga scadenza, l’intrusione può durare a lungo (ecco perché è sempre consigliata la cancellazione dei cookie alla chiusura del browser). La soluzione preventiva sviluppata da Google per Chrome si chiama Device Bound Session Credentials (DBSC).

La funzionalità protegge i cookie di sessione attraverso il collegamento crittografico al dispositivo. Sfruttando il TPM (Trust Platform Module) su Windows e il Secure Enclave su macOS viene generata una coppia di chiavi pubblica/privata univoca che non può essere esportata.

L’emissione di nuovi cookie di sessione di breve durata è subordinata alla dimostrazione da parte di Chrome del possesso della corrispondente chiave privata al server. Poiché gli aggressori non possono rubare questa chiave, i cookie esfiltrati scadono rapidamente e diventano inutilizzabili.

L’architettura di DBSC è privata per design. Ogni sessione è protetta da una chiave univoca, quindi i siti web non possono correlare l’attività di un utente tra sessioni o siti diversi sullo stesso dispositivo. Non vengono inoltre inviati al server identificativi del dispositivo o altri dati, ad eccezione della chiave pubblica necessaria per certificare la prova di possesso.

Durante i test effettuati durante il 2025 insieme ad alcuni partner, il furto dei cookie di sessione è diminuito dopo l’attivazione di DBSC. Quest’ultimo è uno standard aperto, quindi può essere implementato in qualsiasi browser (il codice sorgente è su GitHub).

Fonte: Google

Pubblicato il 10 apr 2026

Link copiato negli appunti

Ti potrebbe interessare

Adobe Acrobat Reader: vulnerabilità zero-day da dicembre

Adobe Acrobat Reader: vulnerabilità zero-day da dicembre
Hacker iraniani colpiscono infrastrutture negli USA

Hacker iraniani colpiscono infrastrutture negli USA
NordVPN è in offerta: 5 ragioni per cui è la VPN su cui puntare oggi

NordVPN è in offerta: 5 ragioni per cui è la VPN su cui puntare oggi
Rabbia per la self-driving car che ha investito e ucciso un'anatra

Rabbia per la self-driving car che ha investito e ucciso un'anatra
Adobe Acrobat Reader: vulnerabilità zero-day da dicembre

Adobe Acrobat Reader: vulnerabilità zero-day da dicembre
Hacker iraniani colpiscono infrastrutture negli USA

Hacker iraniani colpiscono infrastrutture negli USA
NordVPN è in offerta: 5 ragioni per cui è la VPN su cui puntare oggi

NordVPN è in offerta: 5 ragioni per cui è la VPN su cui puntare oggi
Rabbia per la self-driving car che ha investito e ucciso un'anatra

Rabbia per la self-driving car che ha investito e ucciso un'anatra
Luca Colantuoni
Pubblicato il
10 apr 2026
Link copiato negli appunti