Google’dan Yenilik: Cihaz Bağlı Oturum Kimlik Bilgileri
Google, kullanıcıların oturum çerezi hırsızlığı saldırılarına karşı korunmalarını sağlamak amacıyla Cihaz Bağlı Oturum Kimlik Bilgileri (DBSC) adlı bir güvenlik özelliğini açık beta aşamasında duyurdu. İlk olarak 2024 Nisan ayında bir prototip olarak tanıtılan bu özellik, kimlik doğrulama oturumlarını bir cihaza bağlayarak, kötü niyetli aktörlerin çalınan çerezlerle mağdurların hesaplarına izinsiz girmelerini engellemeyi hedefliyor.
Andy Wen, Google Workspace ürün yönetimi kıdemli direktörü, “Chrome tarayıcısında kullanılabilir olan DBSC, giriş yaptıktan sonra güvenliği artırır ve oturum çerezlerini kullanıcı kimliğini doğruladığı cihaza bağlı hale getirir” dedi. DBSC, yalnızca kullanıcı hesaplarını kimlik doğrulama sonrası güvende tutmakla kalmayıp, oturum çerezlerinin yeniden kullanımını zorlaştırarak oturumlar arası bütünlüğü de artırmaktadır.
Geçmişteki Hızla Değişen Tehditler
Google, DBSC’nin yanı sıra, 11 milyondan fazla Google Workspace müşterisi için şifre destek hizmetinin genel olarak sunulduğunu duyurdu. Aynı zamanda, yöneticilerin şifrelerin kaydını denetlemesine ve fiziksel güvenlik anahtarlarına kısıtlama getirmesine olanak tanıyan genişletilmiş yönetici kontrolleri de sağlanmaktadır. Google, ayrıca seçilmiş müşteriler için paylaşılan sinyaller çerçevesi (SSF) alıcısını kapalı beta aşamasında sunma niyetindedir. Bu çerçeve, OpenID standardını kullanarak kritik güvenlik sinyallerinin neredeyse gerçek zamanlı olarak değiştirilmesini sağlıyor.
Wen, “Bu çerçeve, ‘yayıncıların’ ‘alıcılara’ önemli olaylar hakkında hızlı bilgi vermesini sağlayarak güvenlik tehditlerine karşı koordineli bir yanıt oluşturulmasını kolaylaştırır” şeklinde belirtti. Tehdit tespiti ve yanıtının ötesinde, sinyal paylaşımı ayrıca cihaz ya da kullanıcı bilgileri gibi farklı özelliklerin genel paylaşımını da mümkün kılarak, genel güvenlik duruşunu ve işbirlikçi savunma mekanizmalarını artırmaktadır.
Google Project Zero ve Raporlama Şeffaflığı
Bu gelişmenin yanı sıra, Google’ın içindeki sıfır gün açıklarını araştırmakla görevli güvenlik ekibi olan Project Zero, Raporlama Şeffaflığı adı verilen yeni bir deneme politikası başlattığını duyurdu. Patch gap olarak bilinen, bir güvenlik açığına yönelik düzeltmenin yayımlandığı tarih ile kullanıcının gerekli güncellemeyi kurduğu tarih arasındaki zaman dilimini ifade ederken, upstream patch gap ise bir yukarıdaki satıcının bir düzeltme sağladığı, ancak aşağı akış müşterilerinin bu düzeltmeyi entegre etmediği süreyi tanımlar.
Google, bu upstream patch açığını kapatmak için, ilgili satıcıya bir güvenlik açığı bildiriminde bulunduktan bir hafta içinde güvenlik açığının keşfini kamuya açık bir şekilde paylaşmak için yeni bir adım atacağını açıkladı. Bu bilginin, bildirimin yapıldığı tarih, etkilenen ürün ve 90 günlük açıklama süresinin sona erme tarihi gibi bilgileri içermesi bekleniyor. Mevcut liste, iki Microsoft Windows hatası, Dolby Unified Decoder‘daki bir sorun ve üç Google BigWave sorunu da dahil olmak üzere bazı hataları içeriyor.
Tim Willis, Project Zero’dan, “Bu denemenin ana hedefi şeffaflığı artırarak upstream patch boşluğunu daraltmaktır” dedi. “Bir güvenlik açığının yukarı akışta bildirildiğine dair erken bir sinyal sağlayarak, aşağı akış bağımlılarına daha iyi bilgi verebiliriz.”
Yüksek Güvenlik Standartlarına İhtiyaç
Google, bu ilkenin, geçen yıl DeepMind ile işbirliği içinde başlatılan ve güvenlik açığının keşfini artırmayı amaçlayan Big Sleep adlı yapay zeka (AI) ajanına uygulanacağını belirtti. Arama devi, kötü niyetli aktörlerin “önemli ölçüde yardımcı olabilecek” teknik detaylar, kanıt konsept kodları veya diğer bilgilerin paylaşılmayacağını da vurguladı.
Google Project Zero, bu yeni yaklaşımıyla, son kullanıcıların güvenli bir şekilde kullandıkları cihazlara, sistemlere ve hizmetlere yönelik yamaların zamanında yayımlanmasını sağlamak ve genel güvenlik ekosistemini güçlendirmek amacıyla önemli bir adım atmış oluyor. Kullanıcılar, bu geliştirmelerle birlikte daha iyi bir güvenlik deneyimi yaşayarak, dijital dünyada daha güvenli bir ortamda yer alacaklar.
