Google ha iniziato a distribuire su Chrome una nuova protezione pensata per rendere meno efficace il furto dei cookie di sessione, uno degli attacchi più insidiosi contro gli account online.
La funzione, disponibile dal 1° giugno 2026 per gli utenti Windows e Mac, si chiama Device Bound Session Credentials, o DBSC, e punta a legare le sessioni al dispositivo su cui vengono create. In questo modo, anche se un hacker riuscisse a sottrarre credenziali dal browser, non potrebbe usarle facilmente su un altro computer. La protezione riguarda gli account personali Google e Google Workspace, rafforzando un punto delicato della sicurezza quotidiana su Chrome.
Il furto dei cookie: così gli hacker aggirano login e autenticazione a più fattori
Il problema non nasce oggi, ma negli ultimi anni è diventato sempre più concreto. I cookie del browser servono a tenere aperte le sessioni sui siti, salvare preferenze e evitare all’utente di rifare il login di continuo. Se però finiscono nelle mani sbagliate, diventano una scorciatoia pericolosa. Con un malware installato sul computer della vittima, un attaccante può copiare i cookie di sessione e portarli su un proprio dispositivo, facendosi riconoscere dal servizio online come se fosse l’utente legittimo.
Il nodo è qui: spesso non deve conoscere la password e non deve nemmeno superare una nuova richiesta di autenticazione a più fattori, perché la sessione risulta già valida. Google parla di “session theft”, furto della sessione, una tecnica che colpisce sia i privati sia le aziende. E non serve per forza un attacco appariscente: a volte bastano un allegato aperto in fretta, un’estensione malevola o un programma scaricato da una fonte poco sicura.
DBSC in Chrome: cookie legati al dispositivo e al chip di sicurezza
La risposta di Google passa da DBSC, una funzione pensata per legare le sessioni del browser al dispositivo da cui è stato fatto l’accesso. In sostanza, i cookie di Chrome non restano più semplici file riutilizzabili altrove: vengono associati al chip di sicurezza del computer. Sui PC Windows, di solito, questo compito spetta al Trusted Platform Module, il TPM; sui Mac entra invece in gioco il Secure Enclave.
Anche se un malware riuscisse a rubare i cookie, l’attaccante si troverebbe con file molto meno utili, perché ancora vincolati alla macchina originale. Google ha spiegato che DBSC rafforza la sicurezza degli account dopo il login e rende “significativamente più difficile” usare cookie rubati. L’azienda aveva iniziato a lavorare a questa tecnologia nel 2024, per poi portarla nel 2025 in beta aperta ai clienti Google Workspace. Fino a quel momento erano gli amministratori IT a doverla attivare. Ora il sistema cambia passo.
Disponibilità e versioni: cosa devono fare utenti e aziende
La nuova protezione è già attiva in automatico su Chrome per Windows e, con requisiti precisi, anche su Mac. Non c’è un pulsante da cercare nelle impostazioni, né una procedura complicata da seguire. Gli utenti devono solo controllare di avere Chrome 146 o versioni successive su Windows e Chrome 148 o versioni successive su macOS. Per verificare l’aggiornamento basta aprire il menu con i tre puntini in alto a destra, entrare in Guida e poi in Informazioni su Google Chrome: il browser scarica l’ultima versione disponibile e chiede il riavvio.
Per le aziende, la novità riduce un rischio tipico degli attacchi che arrivano dopo una prima compromissione, quando un criminale ha già messo piede nella macchina. Non sostituisce antivirus, controllo delle estensioni e formazione del personale, ma aggiunge una difesa nel punto in cui spesso avviene l’abuso: la sessione già aperta nel browser. Google punta così a rendere meno redditizio il mercato dei cookie rubati. Una misura silenziosa, ma concreta.
