В современную эпоху цифровой безопасности успех компаний напрямую зависит от того, как они справляются с защищенностью пользовательских данных и управления уязвимостями. В июле 2025 года Google сделала важный шаг вперёд, выпустив публичную бета-версию функции Device Bound Session Credentials (DBSC) в браузере Chrome на Windows. Эта инновация призвана усовершенствовать безопасность сеансов аутентификации, а также значительно снизить риски кражи session cookie — одной из распространённых причин компрометации учётных записей пользователей. DBSC впервые появилась в виде прототипа в апреле 2024 года и за это время привлекла внимание экспертов в области кибербезопасности. Её главная задача — привязать сеанс аутентификации к конкретному устройству, с которого вошёл пользователь, тем самым предотвращая возможность использования украденных куки-файлов на другом устройстве злоумышленниками.
Маленькие текстовые файлы cookie, которые сайты применяют для сохранения информации о входе, часто оказываются уязвимыми к перехвату и повторному использованию. Именно здесь DBSC вмешивается, повышая целостность сеансов и усиливая постаутентификационную защиту. Старший директор по продукт-менеджменту Google Workspace Энди Вэнь подчёркивает, что DBSC призвана сделать процесс безопасности уже после входа в аккаунт более надёжным и сложным для обхода. Используя эту систему, риск злоупотребления украденными сессионными данными значительно уменьшается. Это особенно важно для корпоративных пользователей и всех, кто ценит надёжную защиту своих онлайн-сервисов.
Кроме того, Google также объявила о расширении поддержки пасспаролей (passkey), которые теперь доступны более чем 11 миллионам корпоративных клиентов Google Workspace. Произведено улучшение административных функций, позволяющих администраторам проводить аудит регистрации и ограничивать использование пасспаролей только физическими ключами безопасности. Такой подход повышает уровень контроля и минимизирует риски, связанные с компрометацией учётных данных. Также компания планирует внедрение в закрытую бету приёмника Shared Signals Framework (SSF) для избранных клиентов. SSF представляет собой систему обмена важными сигналами безопасности почти в реальном времени с помощью стандарта OpenID.
Такая организация потока информации позволяет более эффективно и слаженно реагировать на угрозы. Как отметил Энди Вэнь, эта технология не только ускоряет обнаружение и реагирование на атаки, но и даёт возможность осуществлять обмен различными данными, например, информацией об устройствах и пользователях, что значительно усиливает коллективную кибероборону. На фоне этих нововведений команда Google Project Zero сообщила о запуске новой инициативы — политики Reporting Transparency, направленной на решение проблемы «upstream patch gap». Важно уточнить, что классический «patch gap» означает разрыв во времени между публикацией патча и его установкой конечным пользователем. Но проблема upstream patch gap связана с задержкой на уровне производителей и поставщиков программного обеспечения, когда исправления уже готовы, но ещё не интегрированы и не доставлены конечным пользователям через дистрибьюторов или OEM-производителей.
Для сокращения этого разрыва Google планирует публично объявлять о новых уязвимостях в течение недели с момента их сообщения соответствующему вендору. В такую публикацию будет входить информация о поставщике, затронутом продукте, дате сообщения и окончательном сроке раскрытия сведений, который обычно составляет 90 дней. В текущем списке уже зафиксированы две уязвимости в Windows от Microsoft, один дефект в Dolby Unified Decoder и три проблемы, выявленные в Google BigWave. Руководитель Project Zero Тим Уиллис уточнил, что цель новичковой политики — повысить прозрачноть и своевременность реакции со стороны downstream-участников экосистемы безопасности. Благодаря ранним предупреждениям они смогут лучше отслеживать критичные уязвимости и быстрее принимать меры для защиты своих систем и пользователей.
Отдельно Google намерена интегрировать принцип прозрачности в работу искусственного интеллекта Big Sleep, инструмент, созданный в сотрудничестве DeepMind и Project Zero для ускорения и улучшения обнаружения уязвимостей. При этом компания подчёркивает, что ни технические детали, ни доказательства концепций, которые могут использоваться злоумышленниками, не будут публиковаться до наступления срока раскрытия информации. Запуск DBSC и прозрачной политики патчей — важные шаги для улучшения общей кибербезопасности. Простым пользователям это гарантирует более надёжную защиту сеансов входа без потери удобства, а организациям — расширение возможностей контроля и мониторинга угроз. Проект Zero продолжает подтверждать репутацию Google как одного из лидеров в сфере безопасности, развивая передовые методы выявления и устранения уязвимостей.
Эти инициативы приходят в критический момент, когда количество атак на программное обеспечение и сервисы стремительно растёт. Значимые усилия Google в части ситуационно-досрочного обмена информацией о вредоносных действиях и повышении уровня защиты позволят заинтересованным компаниям и специалистам быстрее адаптироваться к меняющимся реалиям угроз и защищать пользователей в глобальном масштабе. Обеспечение безопасности данных и доверия пользователей — ключевой приоритет развития цифровой индустрии, и новые инструменты Google открывают дорогу для более безопасного интернета. В ближайшие годы можно ожидать, что подобные технологии получат широкое внедрение, а сотрудничество и прозрачность между производителями ПО и пользователями будут одним из определяющих факторов устойчивой защиты информационных систем от сложных и целенаправленных кибератак.
