أعلنت شركة جوجل عن إطلاق ميزة جديدة تهدف إلى تعزيز الأمان الإلكتروني للمستخدمين، وهي ميزة “شهادات الجلسة المرتبطة بالجهاز” (Device Bound Session Credentials) في مرحلة البيتا المفتوحة. تأتي هذه الخطوة كإجراء وقائي ضد الهجمات التي تستهدف سرقة ملفات تعريف الجلسة (Session Cookies)، مما يحد من إمكانية استخدام هذه الملفات المسروقة للوصول إلى حسابات المستخدمين بشكل غير مصرح به.

تحليل متعمق: أهمية القطاع المستهدف والابتكارات التقنية

تم تقديم ميزة DBSC لأول مرة كنموذج أولي في أبريل 2024، وتهدف إلى ربط جلسات المصادقة بجهاز المستخدم لمنع المهاجمين من استخدام ملفات تعريف الجلسة المسروقة لتسجيل الدخول إلى حسابات الضحايا من أجهزة أخرى تحت سيطرتهم. تتوفر هذه الميزة في متصفح كروم على نظام التشغيل ويندوز، مما يعزز الأمان بعد تسجيل الدخول ويساعد في ربط ملف تعريف الجلسة بالجهاز الذي تم مصادقته، كما أوضح أندي وين، المدير الأول لإدارة المنتجات في Google Workspace.

لا تقتصر ميزة DBSC على تأمين حسابات المستخدمين بعد المصادقة، بل تجعل من الصعب على المهاجمين إعادة استخدام ملفات تعريف الجلسة، مما يحسن من تكامل الجلسات.

بالإضافة إلى ذلك، أعلنت جوجل عن توفر دعم “مفاتيح المرور” (Passkeys) لأكثر من 11 مليون عميل في Google Workspace، مع توسيع الضوابط الإدارية لتدقيق التسجيل وتقييد مفاتيح المرور بالمفاتيح الأمنية المادية.

تداعيات الأمان والإطار العام للإشارات المشتركة

تخطط جوجل لطرح إطار عمل جديد لاستقبال الإشارات المشتركة (Shared Signals Framework) في مرحلة تجريبية مغلقة لبعض العملاء، بهدف تمكين تبادل الإشارات الأمنية المهمة في الوقت الفعلي باستخدام معيار OpenID. يتيح هذا الإطار للأنظمة “المرسلة” إبلاغ “المستقبلة” بأحداث هامة، مما يسهم في تنسيق الاستجابة للتهديدات الأمنية.

تذهب جوجل إلى أبعد من ذلك بإتاحة مشاركة الإشارات بشكل عام، مثل معلومات الجهاز أو المستخدم، مما يعزز الوضع الأمني العام وآليات الدفاع التعاوني.

مشروع جوجل زيرو: تعزيز الشفافية في الإبلاغ عن الثغرات

في سياق متصل، أعلن فريق “مشروع جوجل زيرو” عن سياسة تجريبية جديدة تحت مسمى “شفافية الإبلاغ” لمعالجة ما يُعرف بفجوة التصحيح العلوي (Upstream Patch Gap). تشير هذه الفجوة إلى الفترة الزمنية بين إصدار التصحيح من قبل المورد العلوي وتكامل العملاء السفليين لهذا التصحيح وإرساله للمستخدمين النهائيين.

ولتقليل هذه الفجوة، أعلنت جوجل أنها ستشارك علنًا اكتشاف الثغرات خلال أسبوع من إبلاغ المورد ذي الصلة بها، مشيرة إلى المنتجات المتضررة وتاريخ الإبلاغ والموعد النهائي لكشف التفاصيل.

تسعى جوجل من خلال هذه الاستراتيجية إلى تعزيز الشفافية وتقليل زمن إصدار التصحيحات للأجهزة والأنظمة والخدمات التي يعتمد عليها المستخدمون النهائيون، مما يقوي النظام الأمني بشكل عام.

انتهاء بفكرة للنقاش

هل تعتقد أن هذه التحسينات ستعزز فعلاً من الأمان الإلكتروني للمستخدمين؟ وكيف يمكن للشركات الأخرى الاستفادة من هذه الاستراتيجيات لتعزيز أمنها الرقمي؟ نود سماع آرائكم عبر تويتر وفيسبوك.