La protezione contro gli infostealer su Google Chrome fa un passo avanti importante. Google ha annunciato che la funzionalità Device Bound Session Credentials, abbreviata in DBSC, è finalmente attiva a partire da Chrome 146 per Windows, con l’arrivo previsto anche su macOS nelle prossime versioni del browser. Si tratta di una contromisura pensata per contrastare il furto dei cookie di sessione, una delle tecniche più sfruttate dai cybercriminali per prendere il controllo degli account senza nemmeno conoscere le credenziali.
Il problema, per chi non lo sapesse, è piuttosto subdolo. Molti infostealer riescono a sottrarre i cookie di sessione direttamente dal browser, permettendo a chi attacca di accedere agli account come se fosse l’utente legittimo. E siccome questi cookie hanno spesso una scadenza lunga, l’intrusione può durare parecchio tempo. Non a caso, da sempre viene consigliato di cancellare i cookie alla chiusura del browser, anche se nella pratica quasi nessuno lo fa. La funzionalità DBSC è stata annunciata da Google esattamente un anno fa e ora, con Chrome 146, diventa operativa.
Come funziona DBSC e perché rende inutili i cookie rubati
Il meccanismo alla base di Device Bound Session Credentials è tanto elegante quanto efficace. La protezione lega crittograficamente i cookie di sessione al dispositivo fisico dell’utente. Su Windows viene sfruttato il TPM (Trust Platform Module), mentre su macOS si utilizzerà il Secure Enclave. In entrambi i casi, viene generata una coppia di chiavi pubblica e privata univoca, che non può essere esportata dal dispositivo.
E qui sta il punto chiave: l’emissione di nuovi cookie di sessione, che hanno una durata molto breve, è subordinata alla dimostrazione da parte di Google Chrome del possesso della chiave privata corrispondente. Questo significa che anche se un aggressore riesce a rubare un cookie, quel cookie scade rapidamente e diventa del tutto inutilizzabile senza la chiave privata, che resta vincolata al dispositivo originale. Nessun modo di esportarla, nessun modo di replicarla.
Un aspetto che vale la pena sottolineare riguarda la privacy. L’architettura di DBSC è stata progettata per essere privata fin dalla base. Ogni sessione è protetta da una chiave univoca, il che impedisce ai siti web di correlare l’attività di un utente tra sessioni diverse o tra siti diversi sullo stesso dispositivo. Al server non vengono inviati identificativi del dispositivo né altri dati sensibili, a parte la chiave pubblica necessaria per certificare la prova di possesso.
Non si tratta solo di teoria. Durante i test condotti nel corso del 2025 insieme ad alcuni partner, Google ha registrato una diminuzione concreta del furto dei cookie di sessione dopo l’attivazione di DBSC. Un risultato che conferma l’efficacia dell’approccio e che potrebbe spingere anche altri browser ad adottare la stessa tecnologia.
