מניעת גניבת קובצי Cookie באמצעות קישור לסשן

‫Google Workspace משפר באופן אוטומטי את האבטחה של הסשנים של המשתמשים באינטרנט באמצעות פרטי כניסה לסשן לפי מכשיר (DBSC). ‫DBSC נועד למנוע חטיפת סשנים, שנקראת גם גניבת קובצי Cookie.

סוג כזה של מתקפת סייבר מתרחש כשגורם לא מורשה מקבל שליטה על סשן אינטרנט פעיל של משתמש על ידי גניבת קובץ Cookie זמני של הסשן – לרוב באמצעות תוכנה זדונית במכשיר של המשתמש. קובץ Cookie זמני הוא קובץ נתונים קטן שמכיל את מזהה הסשן הייחודי שהונפק על ידי האתר במהלך הכניסה לחשבון. התוקף יכול להציג את קובץ ה-Cookie הגנוב הזה, להתחזות למשתמש הלגיטימי ולהמשיך את הסשן המאומת שלו.

‫DBSC פועל על ידי קישור הסשן של המשתמש למכשיר הספציפי שלו, וכך מקשה על תוקפים להשתמש בקובצי Cookie גנובים במכשירים אחרים. כך נוצר גבול אבטחה שמבוסס על חומרה, שמקטין את הסיכון לגישה לא מורשית לחשבונות משתמשים ושומר על בטיחות הנתונים הרגישים. התכונה DBSC מופעלת כברירת מחדל בכל חשבונות Workspace. לא נדרשת פעולה מצד האדמין כדי להפעיל את ההגנה הזו.

דרישות לשימוש ב-DBSC

  • דפדפן Chrome: גרסה 146 ומעלה ל-Windows וגרסה 148 ומעלה ל-macOS. פרטים נוספים זמינים במאמר בנושא עדכון Google Chrome.
  • אבטחת חומרה: נדרשות תכונות אבטחה מבוססות חומרה כדי לאחסן בצורה מאובטחת את המפתחות הקריפטוגרפיים שמשמשים לקישור הסשן למכשיר. ב-Windows, זהו מודול פלטפורמה מהימן (TPM), שהוא סטנדרטי ברוב המכשירים עם Windows 11. ב-macOS, מדובר באזור מאובטח (Secure Enclave) (זמין ברוב המחשבים הניידים החדשים של Mac). כדי לוודא את יכולות החומרה, כדאי לעיין בתיעוד של יצרן המכשיר.

איך מוחלת ההגנה של DBSC

ההגנה של DBSC מופעלת באופן אוטומטי כשהמכשיר והדפדפן של המשתמש עומדים בדרישות הטכניות הנדרשות. במקרים מסוימים, יכול להיות שסשנים יישארו לא מקושרים. בין הסיבות הנפוצות:

  • סביבה לא נתמכת – בעיות במערכת ההפעלה של המשתמש, בגרסת הדפדפן או באבטחת החומרה (למשל, מודול פלטפורמה מהימנה (TPM) ב-Windows).
  • סשנים קיימים – ההגנה באמצעות DBSC חלה רק על סשנים חדשים. משתמשים שכבר היו מחוברים לחשבון כשהפעלתם את DBSC צריכים לצאת מהחשבון ולהיכנס אליו שוב כדי לקשר את הסשן שלהם.
  • שינויים בדפדפן – תוספים מסוימים לדפדפן או שינויים ידניים בקובצי Cookie יכולים למנוע את הפעולה התקינה של DBSC.

אכיפת DBSC באמצעות בקרת גישה מבוססת-הקשר

מוגבל לאפליקציות אינטרנט למחשב ולא רלוונטי לאפליקציות לנייד או לממשקי API

כדי לשפר את האבטחה, אפשר לדרוש מהמשתמשים להשתמש ב-DBSC כדי לגשת לאפליקציות ספציפיות של Google Workspace. כשמפעילים את האכיפה של DBSC, המשתמשים מתבקשים להיכנס שוב אם המערכת מזהה הבדל בסשן קודם שהוגדר כסשן מאובטח. האימות מחדש מאפשר למערכת לנסות ליצור קשר חדש ומאובטח. הגישה של משתמשים בפלטפורמות לא נתמכות לאפליקציה המוגנת נחסמת. אמצעי האבטחה הזה מוגדר באמצעות בקרת גישה מבוססת-הקשר.

כדי להגדיר אכיפה של DBSC:

  1. פועלים לפי ההוראות ליצירת רמת גישה בהתאמה אישית בקטע אישור גישה לאפליקציות רק מסשנים שקשורים ל-DBSC.
  2. מקצים את רמת הגישה לאפליקציות שרוצים שיהיה אפשר לגשת אליהן רק באמצעות סשנים שמוגבלים על ידי DBSC במצב מעקב כדי לדמות אכיפה בלי לחסום את גישת המשתמשים.
  3. אחרי הערכת ההשפעה, מקצים רמות גישה במצב פעיל כדי לאכוף גישה רק באמצעות סשנים שקשורים ל-DBSC. פרטים נוספים זמינים במאמר בנושא פריסה של בקרת גישה מבוססת-הקשר.

האכיפה של DBSC לא מתבצעת באופן מיידי, כלומר אחרי שהמשתמש נכנס לחשבון יש תקופת חסד לפני שהאכיפה מתחילה. העיצוב הזה מתאים לבעיות זמניות אפשריות שקשורות לקישור. אחרי הקישור, המערכת בודקת מדי פעם אם למשתמשים שניגשים לאפליקציות שצוינו יש סשנים שמקושרים ל-DBSC. כל אימות מחדש יאפס את תקופת החסד הזו, והמדיניות בנושא DBSC לא תיאכף במהלך האימות מחדש.

חקירת בעיות בסשן ובהגנה באמצעות DBSC

אתם יכולים להשתמש בכלי לחקירת אבטחה כדי לעקוב אחרי ההגנה על DBSC ולפתור בעיות שגורמות להפרעות בסשן. יש 2 מקורות ליומנים של פעילות DBSC:

  • אירועים ביומן משתמשים – מעקב אחרי הקישור של טוקנים של גישה למכשירי משתמשים.
  • אירועים ביומן של Access Evaluation – בדיקת הסטטוס של קובצי Cookie ספציפיים.

הערה: אירועים ביומן DBSC גלויים רק בחשבון הראשי כשכמה חשבונות משתמשים מחוברים לאותו פרופיל בדפדפן Chrome.

שלב 1: מחפשים פעילות של DBSC באירועים של יומן המשתמש

אפשר להשתמש במקור הנתונים הזה כדי לבדוק אם מפתחות DBSC מקושרים בהצלחה למכשירים של משתמשים ושהסשנים מאומתים.

כדי לבדוק אם DBSC מקשר מפתחות:

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. בקטע מקור נתונים, בוחרים באפשרות אירועים ביומן של משתמש.
  3. לוחצים על הוספת תנאי.
  4. בקטע מאפיין, בוחרים באפשרות אירועואזהוא כאופרטורואזקישור של מקש DBSC כאירוע.
  5. לוחצים על חיפוש.
  6. בטבלת התוצאות, בודקים את העמודה סטטוס האירוע:
    • Succeeded (הצלחה) – ההגנה באמצעות DBSC מופעלת עבור המשתמש והסשן מוגן.
    • נכשל – הקישור של DBSC נכשל, וההגנה לא מופעלת עבור המשתמש.
    • No results (אין תוצאות) – לא נעשה ניסיון להגן על סשן המשתמש באמצעות DBSC.

כדי לבדוק אם DBSC מאמת סשנים:

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על הוספת תנאי.
  3. בקטע מאפיין, בוחרים באפשרות אירועואזהוא כאופרטורואזאימות מפתח DBSC כאירוע.
  4. לוחצים על חיפוש.
  5. בטבלת התוצאות, בודקים את העמודה סטטוס האירוע:
    • הצלחה – קובץ ה-Cookie אומת בהצלחה.
    • נכשל – אימות ה-DBSC נכשל. לוחצים על הסטטוס כדי לקבל מידע נוסף, כמו קוד שגיאה.

כישלון אחד לא בהכרח אומר שהמשתמש חווה הפרעות בסשן. אם מתרחשים כמה כשלים באימות ברצף, יכול להיות שהמשתמשים יחוו שיבושים.

שלב 2: בדיקה אם יש דחיות גישה באירועים ביומן של Access Evaluation

אפשר להשתמש במקור הנתונים הזה כדי לבדוק אם נדחתה הגישה לקובץ Cookie של משתמש.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. בקטע מקור נתונים, בוחרים באפשרות אירועים ביומן של הערכת גישה.
  3. לוחצים על הוספת תנאי.
  4. בקטע מאפיין, בוחרים באפשרות אירועואזהוא כאופרטורואזדחיית בקשה לאימות קובץ Cookie כאירוע.
  5. לוחצים על חיפוש.
  6. בטבלת התוצאות, לוחצים על נדחה בעמודה סטטוס האירוע או על הקישור בעמודה תיאור כדי לפתוח חלונית צד שבה אפשר לבדוק את סיבות הכישלון הבאות:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

אירועים ביומן מקובצים לפי סשן. כדי לנהל את נפח היומן, המערכת מתעדת רק אירוע אחד לשעה לכל סשן ייחודי וסוג כשל. ניסיונות אחרים עם אותם פרטים לא יתועדו במהלך השעה הזו.

שלב 3: בודקים אם הפרעות בסשן נגרמות על ידי DBSC

יכולות להיות סיבות שונות לניתוק המשתמשים, כמו מגבלות על משך הסשן, מדיניות שהוגדרה על ידי האדמין או בעיות ברשת. יציאה מהחשבון לא תמיד מעידה על בעיה שקשורה ל-DBSC, אבל רצפים ספציפיים של יומנים יכולים לעזור לזהות פעילות פוטנציאלית שקשורה ל-DBSC או מקרים שבהם המערכת חסמה סשן שנפרץ.

הנקודות הבאות יעזרו לכם לזהות פעילות שקשורה ל-DBSC:

  • בדיקת רצפי יומנים – אם מופיעות שגיאות של אימות מפתח DBSC ואחריהן בקשה לדחיית אימות קובצי Cookie, יכול להיות ש-DBSC הוא הגורם לכך שהמשתמש יצא מהחשבון.
  • הבנת ההשפעה על המשתמש – כדי לשמור על בטיחות החשבון, המשתמש צריך להיכנס שוב אם מתרחשת שגיאה בתהליך הקישור.


Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.