bencede
New member
Atlanta'daki FBI yakın zamanda siber suçluların e-posta hesaplarını ele geçirmek için oturum çerezi hırsızlığını kullandığına dair bir uyarı yayınladı. Yöntem yeni değil ama yükselişte gibi görünüyor. Kötü olan şey, erişim anahtarları veya iki faktörlü kimlik doğrulamanın çeşitli biçimleri gibi en güvenli oturum açma yöntemlerinin bile hesabın ele geçirilmesine karşı bu şekilde koruma sağlamamasıdır.
Duyuru
Google bir çözüm üzerinde çalışıyor
Google bir süredir soruna bir çözüm üzerinde çalışıyor: Cihaza bağlı oturum kimlik bilgileri, saldırganların etkin bir oturumu uzaktan ele geçirmesini engellemeyi amaçlıyor. Geliştirme, halka açık bir GitHub projesinde gerçekleşir. Amaç açık bir web standardı oluşturmaktır. Aktif oturumların, cihazla ilişkili oturum kimlik bilgileri kullanılarak ilgili cihazla ilişkilendirilmesi gerekir. Çalınan çerezler artık bir hesaba uzaktan erişim için kullanılamayacaktır.
Mekanizma bir şekilde erişim anahtarlarını andırıyor: oturum açma işlemi gibi, genel anahtar şifrelemesine dayanıyor: bir hizmete eriştiğinizde, özel ve genel anahtardan oluşan bir anahtar çifti oluşturulur. Özel anahtar ilgili cihazda, genel anahtar ise ilgili web hizmetinin sunucusunda güvenli bir şekilde saklanmalıdır. Geliştiriciler, özel anahtarı güvende tutmak için bir Windows bilgisayarın Güvenilir Platform Modülü (TPM) gibi güvenli donanım modüllerini kullanmak ister. Kullanıcılar, oluşturulan anahtarları istedikleri zaman tarayıcı ayarlarından silebilmelidir.
O zamana kadar, çerez çalan kötü amaçlı yazılımlara yakalanmaktan kaçınarak kendinizi oturum çerezi hırsızlığına karşı koruyabilirsiniz. Örneğin, İnternet'te yalnızca güvenli bağlantılar üzerinden gezinmek ve bu kötü amaçlı yazılımı indirmeye yönelik bir bağlantı içeren kimlik avı e-postalarına düşmemek önemlidir. Şansı daha da azaltmak için, tarayıcı penceresini veya sekmesini kapatmak yerine her zaman bir hizmetten çıkış yapmalısınız. Ayrıca tarayıcının kapatılması aktif oturumları sonlandırır ve oturum çerezini geçersiz kılar.
(kst)
Duyuru
Google bir çözüm üzerinde çalışıyor
Google bir süredir soruna bir çözüm üzerinde çalışıyor: Cihaza bağlı oturum kimlik bilgileri, saldırganların etkin bir oturumu uzaktan ele geçirmesini engellemeyi amaçlıyor. Geliştirme, halka açık bir GitHub projesinde gerçekleşir. Amaç açık bir web standardı oluşturmaktır. Aktif oturumların, cihazla ilişkili oturum kimlik bilgileri kullanılarak ilgili cihazla ilişkilendirilmesi gerekir. Çalınan çerezler artık bir hesaba uzaktan erişim için kullanılamayacaktır.
Mekanizma bir şekilde erişim anahtarlarını andırıyor: oturum açma işlemi gibi, genel anahtar şifrelemesine dayanıyor: bir hizmete eriştiğinizde, özel ve genel anahtardan oluşan bir anahtar çifti oluşturulur. Özel anahtar ilgili cihazda, genel anahtar ise ilgili web hizmetinin sunucusunda güvenli bir şekilde saklanmalıdır. Geliştiriciler, özel anahtarı güvende tutmak için bir Windows bilgisayarın Güvenilir Platform Modülü (TPM) gibi güvenli donanım modüllerini kullanmak ister. Kullanıcılar, oluşturulan anahtarları istedikleri zaman tarayıcı ayarlarından silebilmelidir.
O zamana kadar, çerez çalan kötü amaçlı yazılımlara yakalanmaktan kaçınarak kendinizi oturum çerezi hırsızlığına karşı koruyabilirsiniz. Örneğin, İnternet'te yalnızca güvenli bağlantılar üzerinden gezinmek ve bu kötü amaçlı yazılımı indirmeye yönelik bir bağlantı içeren kimlik avı e-postalarına düşmemek önemlidir. Şansı daha da azaltmak için, tarayıcı penceresini veya sekmesini kapatmak yerine her zaman bir hizmetten çıkış yapmalısınız. Ayrıca tarayıcının kapatılması aktif oturumları sonlandırır ve oturum çerezini geçersiz kılar.
(kst)