Redazione RHC : 2 Agosto 2025 07:42
Google sta spingendo i limiti della sicurezza con una nuova iniziativa, rendendo Device Bound Session Credentials (DBSC) una funzionalità beta pubblica che aiuta a proteggere gli utenti dal furto di cookie di sessione.
Inizialmente presentato come prototipo nell’aprile 2024, il sistema è ora disponibile nel browser Chrome per Windows e collega le sessioni di autenticazione a un dispositivo specifico. Ciò significa che, anche se i cookie vengono rubati, un aggressore non sarà in grado di utilizzarli su un altro computer.
Secondo il responsabile della gestione dei prodotti di Google Workspace, DBSC rafforza la protezione post-accesso bloccando l’autorizzazione remota da un altro dispositivo. Questa associazione impedisce il riutilizzo dei cookie per acquisire la sessione e migliora l’integrità dei dati di autorizzazione. La tecnologia è progettata per rafforzare la protezione dell’account non solo al momento dell’accesso, ma durante l’intera interazione con i servizi.
NIS2: diventa pronto alle nuove regole europeeLa Direttiva NIS2 cambia le regole della cybersecurity in Europa: nuovi obblighi, scadenze serrate e sanzioni pesanti per chi non si adegua. Essere pronti non è più un’opzione, è una necessità per ogni azienda e infrastruttura critica. Scopri come garantire la compliance e proteggere la tua organizzazione con l’Anteprima Gratuita del Corso NIS2, condotto dall’Avv. Andrea Capelli. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Oltre a DBSC, Google ha annunciato un supporto esteso per la tecnologia passkey, ora disponibile per oltre 11 milioni di clienti aziendali di Google Workspace. Sono stati inoltre introdotti nuovi strumenti amministrativi per controllare la registrazione delle chiavi e limitarne l’utilizzo ai soli token hardware.
Allo stesso tempo, l’azienda sta avviando test chiusi di un nuovo meccanismo di scambio di segnali di sicurezza: Shared Signals Framework (SSF). Questo protocollo, basato sullo standard OpenID, è progettato per trasferire rapidamente informazioni su potenziali incidenti tra sistemi diversi. SSF crea un’architettura in cui alcuni servizi (“trasmettitori“) possono notificare tempestivamente altri (“ricevitori“) in caso di attività sospette, consentendo di rispondere istantaneamente alle minacce e sincronizzare le misure di protezione.
Inoltre, Google Project Zero, la divisione specializzata nel rilevamento delle vulnerabilità zero-day, ha annunciato il lancio di un’iniziativa pilota chiamata Reporting Transparency. Il suo obiettivo è ridurre il tempo tra la creazione di una correzione e la sua disponibilità per gli utenti finali. Spesso, il problema non si verifica a livello di utente, ma nelle aziende che utilizzano componenti esterni, che non hanno il tempo di integrare la correzione ricevuta nei propri prodotti. La nuova fase del processo di divulgazione delle vulnerabilità prevede la pubblicazione delle informazioni sul problema riscontrato entro una settimana dal trasferimento allo sviluppatore.
I report includeranno ora il nome del fornitore o del progetto, il nome del prodotto, la data di invio del report e la scadenza per la politica di divulgazione di 90 giorni. L’elenco pilota include già due vulnerabilità di Windows, un bug nel Dolby Unified Decoder e tre bug nel progetto Google BigWave.
Google prevede di utilizzare questo approccio anche nel progetto Big Sleep, uno strumento di intelligenza artificiale sperimentale sviluppato in collaborazione con DeepMind. Il suo obiettivo è utilizzare l’intelligenza artificiale per automatizzare la ricerca di vulnerabilità e accelerare l’analisi di potenziali minacce. Allo stesso tempo, l’azienda sottolinea che nessun dettaglio tecnico, codice PoC o materiale che potrebbe essere utile agli aggressori sarà pubblicato fino alla fine del periodo di divulgazione.
Tutto ciò riflette una tendenza più ampia di Google: l’attenzione verso un modello di difesa informatica proattivo, coordinato e tecnologicamente avanzato, volto a ridurre al minimo i tempi di risposta agli incidenti e ad aumentare la trasparenza nell’intero ecosistema software.
RedazioneLa notizia è semplice, la tecnologia no. Chat Control (CSAR) nasce per scovare CSAM e dinamiche di grooming dentro le piattaforme di messaggistica. La versione “modernizzata” rinuncia alla backdo...
A cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...
Microsoft ha ricordato agli utenti che tra un mese terminerà il supporto per l’amato Windows 10. Dal 14 ottobre 2025, il sistema non riceverà più aggiornamenti di sicurezza , correzioni di bug e ...
