מניעת גניבת קובצי Cookie באמצעות קישור לסשן

‫Google Workspace משפר באופן אוטומטי את האבטחה של הסשנים של המשתמשים באינטרנט באמצעות פרטי כניסה לסשן לפי מכשיר (DBSC). ‫DBSC נועד למנוע חטיפת סשנים, שנקראת גם גניבת קובצי Cookie.

סוג כזה של מתקפת סייבר מתרחש כשגורם לא מורשה מקבל שליטה על סשן אינטרנט פעיל של משתמש על ידי גניבת קובץ Cookie זמני של הסשן – לרוב באמצעות תוכנה זדונית במכשיר של המשתמש. קובץ Cookie זמני הוא קובץ נתונים קטן שמכיל את מזהה הסשן הייחודי שהונפק על ידי האתר במהלך הכניסה לחשבון. התוקף יכול להציג את קובץ ה-Cookie הגנוב הזה, להתחזות למשתמש הלגיטימי ולהמשיך את הסשן המאומת שלו.

‫DBSC פועל על ידי קישור הסשן של המשתמש למכשיר הספציפי שלו, וכך מקשה על תוקפים להשתמש בקובצי Cookie גנובים במכשירים אחרים. כך נוצר גבול אבטחה שמבוסס על חומרה, שמקטין את הסיכון לגישה לא מורשית לחשבונות משתמשים ושומר על בטיחות הנתונים הרגישים. התכונה DBSC מופעלת כברירת מחדל בכל חשבונות Workspace. לא נדרשת פעולה מצד האדמין כדי להפעיל את ההגנה הזו.

דרישות לשימוש ב-DBSC

  • דפדפן Chrome: גרסה 146 ואילך ל-Windows. פרטים נוספים זמינים במאמר בנושא עדכון Google Chrome.
  • אבטחת חומרה: נדרשות תכונות אבטחה מבוססות-חומרה כדי לאחסן בצורה מאובטחת את המפתחות הקריפטוגרפיים שמשמשים לקישור הסשן למכשיר. ב-Windows, מדובר במודול פלטפורמה מהימנה (TPM), שהוא סטנדרטי ברוב המכשירים שמופעלת בהם מערכת Windows 11. כדי לוודא את יכולות החומרה, אפשר לעיין במסמכי היצרן של המכשיר.

איך מוחלת ההגנה של DBSC

ההגנה של DBSC מופעלת באופן אוטומטי כשהמכשיר והדפדפן של המשתמש עומדים בדרישות הטכניות הנדרשות. במקרים מסוימים, יכול להיות שסשנים יישארו לא מקושרים. בין הסיבות הנפוצות:

  • סביבה לא נתמכת – בעיות במערכת ההפעלה של המשתמש, בגרסת הדפדפן או באבטחת החומרה (למשל, מודול פלטפורמה מהימנה (TPM) ב-Windows).
  • סשנים קיימים – ההגנה של DBSC חלה רק על סשנים חדשים. משתמשים שכבר נכנסו לחשבון כשהתכונה DBSC הופעלה צריכים לצאת מהחשבון ולהיכנס אליו שוב כדי לקשר את הסשן שלהם.
  • שינויים בדפדפן – תוספים מסוימים לדפדפן או שינויים ידניים בקובצי Cookie יכולים למנוע את הפעולה התקינה של DBSC.

אכיפת DBSC באמצעות בקרת גישה מבוססת-הקשר

מוגבל לאפליקציות אינטרנט למחשב ולא רלוונטי לאפליקציות לנייד או לממשקי API

כדי לשפר עוד יותר את האבטחה, אפשר לדרוש מהמשתמשים להשתמש ב-DBSC כדי לגשת לאפליקציות ספציפיות של Google Workspace. כשמפעילים את האכיפה של DBSC, המשתמשים מתבקשים להיכנס שוב אם המערכת מזהה הבדל בסשן קודם שהוגדר כסשן מאובטח. האימות מחדש מאפשר למערכת לנסות ליצור קשר חדש ומאובטח. הגישה של משתמשים בפלטפורמות לא נתמכות לאפליקציה המוגנת נחסמת. אמצעי האבטחה הזה מוגדר באמצעות בקרת גישה מבוססת-הקשר.

כדי להגדיר אכיפה של DBSC:

  1. פועלים לפי ההוראות ליצירת רמת גישה בהתאמה אישית בקטע אישור גישה לאפליקציות רק מסשנים שקשורים ל-DBSC.
  2. מקצים את רמת הגישה לאפליקציות שרוצים שיהיה אפשר לגשת אליהן רק באמצעות סשנים שמוגבלים על ידי DBSC במצב מעקב כדי לדמות אכיפה בלי לחסום את גישת המשתמשים.
  3. אחרי הערכת ההשפעה, מקצים רמות גישה במצב פעיל כדי לאכוף גישה רק באמצעות סשנים שקשורים ל-DBSC. פרטים נוספים זמינים במאמר בנושא פריסה של בקרת גישה מבוססת-הקשר.

האכיפה של DBSC לא מתבצעת באופן מיידי, כלומר אחרי שהמשתמש נכנס לחשבון, יש תקופת חסד לפני שהאכיפה מתבצעת. העיצוב הזה נועד להתמודד עם בעיות פוטנציאליות זמניות של קישור. אחרי הקישור, המערכת בודקת מעת לעת אם למשתמשים שניגשים לאפליקציות שצוינו יש סשנים שמקושרים ל-DBSC. כל אימות מחדש יאפס את תקופת החסד הזו, ו-DBSC לא ייאכף במהלך האימות מחדש.

חקירת בעיות בסשן ובהגנה באמצעות DBSC

אתם יכולים להשתמש בכלי לחקירת אבטחה כדי לעקוב אחרי ההגנה של DBSC ולפתור בעיות שקשורות להפסקות בסשנים. יש 2 מקורות ליומנים של פעילות DBSC:

  • אירועים ביומן משתמשים – מעקב אחרי הקישור של טוקנים של גישה למכשירים של משתמשים.
  • אירועים ביומן של Access Evaluation – בדיקת הסטטוס של קובצי Cookie ספציפיים.

הערה: אירועים ביומן DBSC גלויים רק בחשבון הראשי כשכמה חשבונות משתמשים מחוברים לאותו פרופיל בדפדפן Chrome.

שלב 1: מחפשים פעילות של DBSC באירועים של יומן המשתמש

אפשר להשתמש במקור הנתונים הזה כדי לבדוק אם מפתחות DBSC מקושרים בהצלחה למכשירים של המשתמשים והאם הסשנים מאומתים.

כדי לבדוק אם DBSC מקשר מפתחות:

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. בקטע מקור נתונים, בוחרים באפשרות אירועים ביומן של משתמש.
  3. לוחצים על הוספת תנאי.
  4. בקטע מאפיין, בוחרים באפשרות אירועואזהוא כאופרטורואזקישור של מפתח DBSC כאירוע.
  5. לוחצים על חיפוש.
  6. בטבלת התוצאות, בודקים את העמודה סטטוס האירוע:
    • Succeeded (הצלחה) – ההגנה באמצעות DBSC מופעלת עבור המשתמש והסשן מוגן.
    • נכשל – הקישור של DBSC נכשל, וההגנה לא מופעלת עבור המשתמש.
    • No results (אין תוצאות) – לא נעשה ניסיון להגן על סשן המשתמש באמצעות DBSC.

כדי לבדוק אם DBSC מאמת סשנים:

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על הוספת תנאי.
  3. בקטע מאפיין, בוחרים באפשרות אירועואזהוא כאופרטורואזאימות מפתח DBSC כאירוע.
  4. לוחצים על חיפוש.
  5. בטבלת התוצאות, בודקים את העמודה סטטוס האירוע:
    • הושלם – קובץ ה-Cookie אומת בהצלחה.
    • נכשל – האימות של DBSC נכשל. לוחצים על הסטטוס כדי לקבל מידע נוסף, כמו קוד שגיאה.

כישלון אחד לא בהכרח אומר שהמשתמש חווה שיבושים בפעילות באתר. משתמשים עלולים לחוות שיבושים אם מתרחשים כמה כישלונות אימות ברצף.

שלב 2: בדיקה אם יש דחיות גישה באירועים ביומן של Access Evaluation

אפשר להשתמש במקור הנתונים הזה כדי לבדוק אם הגישה לקובץ Cookie של משתמש נדחתה.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. בקטע מקור נתונים, בוחרים באפשרות אירועים ביומן של הערכת גישה.
  3. לוחצים על הוספת תנאי.
  4. בקטע מאפיין, בוחרים באפשרות אירועואזהוא כאופרטורואזדחיית בקשה לאימות קובץ Cookie כאירוע.
  5. לוחצים על חיפוש.
  6. בטבלת התוצאות, לוחצים על נדחה בעמודה סטטוס האירוע או על הקישור בעמודה תיאור כדי לפתוח חלונית צד שבה אפשר לבדוק את סיבות הכישלון הבאות:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

אירועים ביומן מקובצים לפי סשן. כדי לנהל את נפח היומן, המערכת מתעדת רק אירוע אחד לשעה לכל סשן ייחודי וסוג כשל. ניסיונות אחרים עם אותם פרטים לא יתועדו במהלך השעה הזו.

שלב 3: בודקים אם הפרעות בסשן נגרמות על ידי DBSC

יכולות להיות סיבות שונות לכך שמשתמשים יצאו מהחשבון, כמו מגבלות על משך הסשן, כללי מדיניות שהוגדרו על ידי האדמין או בעיות ברשת. יציאה מהחשבון לא תמיד מצביעה על בעיה ב-DBSC, אבל רצפים ספציפיים ביומן יכולים לעזור לזהות פעילות שקשורה ל-DBSC או מקרים שבהם המערכת חסמה סשן שנפרץ.

הנקודות הבאות יעזרו לכם לזהות פעילות שקשורה ל-DBSC:

  • בדיקת רצפי יומנים – אם מופיעות שגיאות של DBSC key validation ואחריהן Deny Cookie Validation Request, יכול להיות ש-DBSC הוא הגורם ליציאה של המשתמש מהחשבון.
  • הסבר על ההשפעה על המשתמש – כדי לשמור על בטיחות החשבון, המשתמש צריך להיכנס שוב אם מתרחשת שגיאה בתהליך הקישור.


Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.