Embora os cookies possam representar uma facilidade por te manter conectado em sites, eliminando a necessidade de ficar fazendo o login toda vez que entra numa plataforma, ou até mesmo navega entre as páginas dela, essa tecnologia podem ser um ponto de vulnerabilidade. É exatamente por isso que o Google Chrome quer começar a criptografá-los.
Não é incomum vermos notícias sobre malwares que conseguem roubar os cookies e utilizá-los para acessar contas das vítimas, podendo ocasionar em perda de privacidade, comprometimento de informações sigilosas e prejuízos financeiros. Mesmo que muitos usuários se esforcem para ser cuidadosos, o Google sabe que não dá para deixar toda a responsabilidade para pessoas que não conhecem necessariamente as boas práticas de segurança digital.
Para resolver este problema, estão desenvolvendo uma nova tecnologia chamada Device Bound Session Credentials (DBSC), com o potencial de deixar seus cookies invioláveis. Com o DBSC ativo, o Google Chrome inicia um processo de autenticação envolvendo uma chave criptográfica específica gerada utilizando o módulo TPM do computador do usuário, de modo que mesmo que seus cookies sejam roubados, os atacantes não conseguirão utilizá-los para nada.
Os engenheiros do Google acreditam que com o DSBC, a taxa de sucesso de roubos de cookies deve reduzir substancialmente, forçando os atacantes a agirem localmente, algo que, em muitos casos, é inviável, ou pelo menos mais fácil de monitorar, caso ocorra em grandes empresas com vários computadores e alto fluxo de pessoas.
Ainda em fase de protótipo, o Google quer compartilhar o DSBC com todos os navegadores baseados em Chromium, para promover uma internet mais segura.
O DSBC funciona permitindo o servidor iniciar uma nova sessão no navegador, associada com uma chave publica armazenada no computador do usuário. Tudo isso depende do servidor aderir uma API específica.
Cada sessão tem sua própria chave, de modo que o servidor só consegue acessar a sessão que ele está associado, isso inviabiliza, por exemplo, o rastreamento da navegação do usuário por sites.
Inicialmente, a novidade será implementada na metade das instalações do Chrome, facilitando os desenvolvedores a entender como o DSBC se comporta quando amplamente utilizado. Uma vez bem testado e aprovado, ele ficará disponível para todos os usuários, mas não há previsão sobre quando isso deve ocorrer.
A criação do DSBC está completamente alinhada com o propósito de todos os principais navegadores eliminarem os cookies de terceiros. Cada um tem a sua própria estratégia, confira a nossa explicação sobre algumas delas.