Google กำลังนำเทคโนโลยี Device Bound Session Credentials (DBSC) มาลงใน Google Chrome ซึ่งจะผูกระบบการยืนยันตัวตนของบราวเซอร์เข้ากับอุปกรณ์ ซึ่งเทคโนโลยีนี้ได้รับการพัฒนาโดย Web Incubator Community Group (WICG) และคาดว่าจะกลายเป็นมาตรฐานในอนาคต ระบบนี้ใช้วิธีการยืนยันตัวตนด้วยไพรเวทคีย์เพื่อรักษาความปลอดภัยในส่วนของผู้ใช้งาน และยกเลิกคุกกี้จากบุคคลที่สาม 

ทั้งนี้การสร้างเว็บไซต์ในปัจจุบันจะต้องคำนึงถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นกฎหมายที่ขึ้นอยู่กับแต่ละประเทศว่าจะบังคับใช้ในบริบทไหน สำหรับกฎหมายคุ้มครองข้อมูลส่วนบุคคลส่วนใหญ่ มีต้นแบบมาจากกฎหมาย GDPR ของยุโรป ซึ่งในประเทศไทยเองก็ได้นำมาพัฒนาต่อยอดจนกลายเป็น PDPA และบังคับใช้ในปัจจุบัน 

และเนื่องจากกฎหมาย PDPA ไม่ได้ระบุว่าจะต้องใช้เครื่องมืออะไรในการเก็บข้อมูลของลูกค้า ขณะที่บางองค์กรมีการเก็บข้อมูลผ่านคุกกี้บนเว็บไซต์ จึงจำเป็นต้องมีการขอความยินยอมคุกกี้ (Cookie Consent) แฮ็กเกอร์เองก็มองเห็นสิ่งนี้เป็นช่องทาง สำหรับขโมยข้อมูลตามเว็บไซต์ขององค์กร ถึงขนาดมีการสร้างเว็บไซต์ปลอม

ทั้งนี้โดยทั่วไปการขโมยข้อมูลคุกกี้จะใช้มัลแวร์ประเภท info-stealer ซึ่งเว็บเบราว์เซอร์ปกติไม่สามารถปกป้องผู้ใช้งานได้ และแม้มัลแวร์จะถูกตรวจพบและกำจัดออกไปแล้ว แต่คุกกี้ที่ถูกขโมยก็ยังสามารถนำไปใช้ได้อยู่ 

ระบบนี้จึงจะเชื่อมต่อระหว่าง Public key และ Private key ที่ถูกจัดเก็บไว้อย่างปลอดภัยบนอุปกรณ์ ซึ่งในระหว่างที่เซสชันยังทำงานอยู่ เซิร์ฟเวอร์จะคอยตรวจสอบ private key เป็นระยะ เพื่อให้แน่ใจว่าการเชื่อมต่อยังอยู่บนอุปกรณ์เดิม วิธีนี้ Google เชื่อว่าจะสามารถป้องกันการขโมยคุกกี้บนเว็บไซต์ด้วยมัลแวร์ได้

DBSC ยังมี API ให้กับเว็บไซต์เพื่อควบคุมอายุการใช้งานของทั้ง Public key และ Private key  และโปรโตคอลเพื่อตรวจสอบหลักฐานการครอบครอง โดยแต่ละเซสชันจะมี Private key ของตัวเอง และเว็บไซต์จะไม่สามารถทราบได้ว่าคีย์สองอันมาจากอุปกรณ์เดียวกันหรือไม่

ตัวอย่างรูปแบบการทำงานก็คือ เมื่อเราเข้าสู่ระบบ (Sign-in) บนเว็บไซต์แล้ว  API ของ DBSC จะแจ้ง ไปที่เบราว์เซอร์ว่าเซสชันได้เริ่มต้นขึ้นแล้ว นั่นจะทำให้เกิดการสร้างคีย์ขึ้นมา จากนั้น API จะแจ้งเบราว์เซอร์ว่าทุกครั้งที่มีการส่งคำขอ (request) ในขณะที่เซสชันทำงานอยู่ เบราว์เซอร์จะ ตรวจสอบว่ามีคุกกี้ที่จำเป็นอยู่หรือไม่ หากคุกกี้เหล่านี้ไม่มีอยู่ ระบบ  DBSC จะระงับการส่งคำขอผ่านเครือข่ายในขณะที่กำลังเรียกใช้ endpoint ที่กำหนดไว้สำหรับการอัปเดตคุกกี้

DBSC ที่จะนำมาใช้งานบน Chrome นั้นก็ขึ้นอยู่กับความสามารถของฮาร์ดแวร์คอมพิวเตอร์ ซึ่งแม้ว่า Google จะพิจารณาการรองรับคีย์แบบซอฟต์แวร์ให้กับผู้ใช้งานทุกคน และ DBSC จะเริ่มถูกนำมาใช้ไปพร้อม ๆ กับการเลิกใช้งานคุกกี้จากบุคคลที่สาม (third-party cookies)

อย่างไรก็ตาม Google มุ่งมั่นที่จะนำ DBSC ไปใช้กับลูกค้า Google Workspace และ Google Cloud เพื่อเพิ่มความปลอดภัยให้กับบัญชีขององค์กร

หากเว็บไซต์องค์กรของคุณยังขาดเครื่องมือสร้างคุกกี้แบนเนอร์ เพื่อเก็บข้อมูลความยินยอมของผู้เข้าใช้งาน เราขอแนะนำแพลตฟอร์ม OneFence โซลูชัน Privacy Management ที่มีโมดูล Cookie Consent Management ช่วยให้คุณสร้าง ปรับแต่ง บริหารจัดการคุกกี้บนเว็บไซต์ได้ตามต้องการ ใช้งานง่าย ถูกต้อง สอดคล้อง ตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล 

ไม่ว่าคุณจะเป็นองค์กรเล็กหรือองค์กรใหญ่ มีผู้เข้าใช้งานเว็บไซต์มากน้อยเพียงใด เราช่วยคุณได้

สนใจติดต่อ :  061-462-6414, 02-103-6462 ,Line : @securitypitch , Email : [email protected]

บทความที่น่าสนใจ

• Microsoft ออกเครื่องมือ เช็ก ID จากใบหน้า
• เมื่อ ‘เซ็นเซอร์วัดแสง’ อาจถูกใช้เป็นเครื่องสอดแนม
• เรียกร้องอะไรได้บ้าง หากโดนภาพ AI สวมรอย