Как защитить сессионные файлы куки от расшифровки и последующей подмены?

Question

[Chris Dixon]

Существует тип вредоносных программ, называемых «стилерами», которые способны расшифровывать куки, пароли и банковские карты, хранящиеся в браузере и отправлять их создателю по почте и с недавних пор и через апи телеграмма. К счастью, я не храню пароли и данные банковских карт в своем браузере, а использую менеджеры паролей с надежным шифрованием. Но куки - это своего рода файлы сессии, изменяя которые можно зайти в учетную запись без ввода лог/пароля и если злоумышленник получит их, то я даже не узнаю, что меня взломали, ибо фактически авторизации на сайт не было и сайт думает, что зашел истинный владелец. Я мог бы настроить свой браузер на удаление файлов куки каждый раз, когда я закрываю свой браузер, но мне кажется, что это будет не шибко удобно, ведь придется каждый раз заново авторизовываться и проходить через 2FA. Естественно, каждый раз перед запуском программы я ее тщательно проверяю, а если что, запускаю на сервере VPS. Но все же я хотел бы защитить себя от такого рода взломов, как мне это сделать?

Answer 1

[rPman]

Защита кук = защита локальной машины от злоумышленника

Лучшее решение из доступных практически каждому - отделить физически критические задачи и остальные, по разным машинам, подключив их к рабочему месту по KMS (клавиатура + мышка + монтор переключатель между двумя компьютерами), на одной используешь только критичную к взлому информацию - банковские сервисы, криптовалюты, парольный менеджер... а на другой все остальное. И никакой общей папки. В идеале разделить машины еще и по разным сетям, благо роутеры такое умеющие уже вполне себе доступные (например кинетик умеет).

Если на критичной машине ничего не запускать кроме браузера, то куки будут вполне надежно защищены. Само собой своевременные обновления. Эту машину вполне можно доверить linux, все равно разницы никто не заметит.

Как развитие способа - использование виртуальных машин, при условии что гипервизор не будет никак больше использоваться, кроме как для запуска виртуалок. Но в этом случае с компьютерными играми могут быть проблемы.