Názory k článku
Chrome testuje novou ochranu proti krádežím souborů cookie

Takže zase jiná forma browser fingerprintu, teď jenom pod hlavičkou zabezpečení cookies?

Přesně to samé jsem si říkal. Na druhou stranu, krádeže cookies jsou problém a zároveň uživatelé chtějí být na weby aktivně přihlášeni, a nechtějí co 10 minut někam psát heslo, protože mají cookies zakázané. Přiznám se, že jsem o tom nepřemýšlel, takže možná je jiná cesta. Jak jinak by se daly zabezpečit?

> Pro každou relaci existuje samostatný klíč a není tedy možné zjistit, že dva různé klíče relace pocházejí z jednoho zařízení.
Aky fingerprinting?

Podle [1] to bude fungovat jen na strojích s TPM, tím pádem to zvětší využitelný fingerprint [2] o jeden bit (=má nebo nemá TPM). Pokud ta API umí předat nějaké verze nebo capabilities, počet bitů které poskytne k fingerprintu bude větší.

[1] https://github.com/WICG/dbsc?tab=readme-ov-file#tpm-considerations
[2] https://www.amiunique.org/

Takze vsetky zariadenia budu mat za chvilu TPM. Takze to bude uplne useless. Ja by som sice skor uvital priamo implementaciu oAuth v browseri alebo aspon skryte bearer ulozisko ale toto mi pride ako celkom dobry napad ako sa zbavit cookies uplne nadobro.

Nějak netuším, proč vlastně nějaké oAuth řešit i na webech, kam se vůbec nepřihlašuji a chodím tam anonymně.

To TPM ma nejaky SN, verze atd, takze se uz jen z toho da dost unikatne rict, ze jde o tentyz stroj. Navic se do toho da samozrejme ulozit i zcela unikatni klic.

Po velmi zběžném pohledu, tohle cookii ukrást nezabrání, pouze jí to efektivně omezí platnost do expirace podpisu.
Nebo jsem něco přehlédl?

Cookies půjde krást pořád stejně, ale ty ukradené budou neověřitelné, tedy neplatné.