गूगल ने कुकी सुरक्षा का एक नया उपाय विकसित और जारी किया है, जो इस तकनीक का समर्थन करने वाली वेबसाइटों के लिए चोरी की गई सेशन कुकीज़ को किसी भी अन्य डिवाइस पर बेकार कर देता है। यह क्या करता है, इससे किसे फायदा होता है और अभी क्या करना चाहिए, यह सब यहाँ बताया गया है।
लघु संस्करण
इंफोस्टीलर मैलवेयर को आपके पासवर्ड या मल्टीफैक्टर ऑथेंटिकेशन (MFA) कोड की ज़रूरत नहीं होती। इसे बस एक छोटी सी फ़ाइल चाहिए होती है जिसे आपका ब्राउज़र लॉगिन करने के बाद स्टोर करता है, जिसे सेशन कुकी कहते हैं। सालों से, सिर्फ़ उस फ़ाइल को चुराना ही ऑनलाइन आपकी पहचान चुराने के लिए काफ़ी था, जिससे यूज़रनेम, पासवर्ड और मल्टीफैक्टर ऑथेंटिकेशन (MFA) को भी बायपास किया जा सकता था। अब क्रोम उस फ़ाइल को आपके डिवाइस से जोड़ देता है, जिससे सेशन कुकी कहीं भी काम करना बंद कर देती है और "सेशन चोरी" के हमलों को रोका जा सकता है।
जब आप किसी वेबसाइट पर लॉग इन करते हैं, तो आपका ब्राउज़र एक सेशन कुकी प्राप्त करता है, जो एक छोटा सा टोकन होता है और यह साबित करता है कि आप पहले ही साइन इन कर चुके हैं। इसके बाद, सर्वर आपके पासवर्ड पर नहीं, बल्कि टोकन पर भरोसा करता है। इससे ब्राउज़िंग तेज़ और सुविधाजनक हो गई, लेकिन इसने एक गंभीर खामी भी पैदा कर दी। जिसके पास कुकी होती है, वही आपका सेशन रखता है, इसके लिए न तो पासवर्ड की ज़रूरत होती है और न ही मल्टीफ़ैब्रिकेटेड ऑथेंटिकेशन (MFA) की।
लुम्मासी2 जैसे इंफोस्टीलर मैलवेयर परिवारों ने 2024 और 2025 में चुपचाप इन टोकनों को इकट्ठा किया और उन्हें ऑनलाइन बाजारों में बेच दिया। चूंकि कुकीज़ अक्सर कई दिनों या हफ्तों तक वैध रहती हैं, इसलिए हमलावरों के पास किसी के ध्यान में आने से पहले उनका उपयोग करने के लिए पर्याप्त समय था।
किसी भी ऑपरेटिंग सिस्टम पर केवल सॉफ्टवेयर का उपयोग करके कुकी एक्सफिल्ट्रेशन को रोकने का कोई विश्वसनीय तरीका नहीं है।
गूगल सुरक्षा टीम, अप्रैल 2026
गूगल का उत्तर कहलाता है डिवाइस बाउंड सत्र क्रेडेंशियलया DBSC। यह अब विंडोज के लिए Chrome 146 पर सभी के लिए उपलब्ध है, macOS के लिए सपोर्ट जल्द ही आने वाला है। इसका मूल विचार सरल है: कुकी पर सीधे भरोसा करने के बजाय, Chrome सेशन को उस डिवाइस से जोड़ता है जहां आपने लॉग इन किया था। अगर कोई कुकी चुरा भी लेता है, तो भी यह किसी अन्य मशीन पर काम करना बंद कर देती है।
Google के अपने परीक्षण से पता चला कि बीटा परीक्षण के दौरान DBSC ने कुकी चोरी के 94% प्रयासों को रोक दिया। जिन 6% प्रयासों में सफलता मिली, उनके लिए पहले से ही मशीन में मौजूद मैलवेयर को निजी कुंजी की जानकारी होना आवश्यक था। प्रत्येक सत्र के लिए एक अलग कुंजी का उपयोग किया जाता है, इसलिए वेबसाइटें इस प्रणाली का उपयोग करके आपकी विभिन्न यात्राओं को ट्रैक नहीं कर सकतीं या आपकी गतिविधि को आपस में जोड़ नहीं सकतीं।
क्रोम ने सबसे पहले और सबसे पूर्ण रूप से यह कदम उठाया। सुरक्षा के मामले में आज प्रत्येक प्रमुख डेस्कटॉप ब्राउज़र की स्थिति की तुलना यहाँ दी गई है। एप्पल ने "सुपर-कुकी" को लेकर चिंता व्यक्त की, जो सत्रों के दौरान न मिटाए जा सकने वाले ट्रैकिंग को सक्षम बनाती है। W3C विनिर्देश इस समस्या का समाधान करता है और यह सुनिश्चित करता है कि वेबसाइट डेटा के साथ-साथ कुंजियाँ भी साफ़ हो जाएँ। एप्पल की स्थिति अभी भी "प्रगति के अधीन" है, न कि "विकास के अधीन"।
यह सुरक्षा वास्तविक है और महत्वपूर्ण है। लेकिन कहानी यहीं खत्म नहीं होती। ध्यान रखने योग्य चार बातें यहाँ दी गई हैं।
पहले से ही चुराई गई कुकीज़
ऑनलाइन पहले से मौजूद 51.7 मिलियन क्रेडेंशियल पैकेज प्रभावित नहीं होंगे। DBSC केवल सक्रिय होने के बाद बनाए गए नए सत्रों की सुरक्षा करता है।
पुराने हार्डवेयर
जिन उपकरणों में TPM या सिक्योर एन्क्लेव नहीं होता, वे पुराने असुरक्षित व्यवहार पर वापस चले जाते हैं। कई पुराने व्यावसायिक कंप्यूटरों में यह चिप नहीं होती, इसलिए अपने कंप्यूटर की जांच अवश्य कर लें।
पॉवरशेल कमांड चलाएँ: Get-Tpm
वेबसाइटों को भी अपडेट करने की जरूरत है
DBSC के लिए वेबसाइट को अपनी तरफ से सपोर्ट जोड़ना आवश्यक है। Google और Okta ने यह कर लिया है। अधिकांश अन्य ऐप्स और प्लेटफॉर्म अभी भी इस पर काम कर रहे हैं।
अन्य ब्राउज़र इसमें शामिल नहीं हैं।
आज के समय में, फायरफॉक्स, सफारी, एज जैसे ब्राउज़र का उपयोग करने वाले या काम के लिए मोबाइल ब्राउज़र का उपयोग करने वाले किसी भी व्यक्ति को यह सुरक्षा नहीं मिलती है, भले ही उनमें डीबीएससी का पूर्ण समर्थन न हो।
इसका लाभ उठाने के लिए आपको सुरक्षा विशेषज्ञ होने की आवश्यकता नहीं है। Chrome समर्थित हार्डवेयर पर सभी आवश्यक कार्य स्वचालित रूप से कर लेता है। आपका काम केवल यह सुनिश्चित करना है कि यह अपना काम ठीक से कर सके।
अपने निजी डिवाइस पर, क्रोम खोलें और सेटिंग्स, फिर हेल्प, फिर अबाउट गूगल क्रोम पर जाएं। यदि आपका डिवाइस संस्करण 146 या उससे नया नहीं है, तो अभी अपडेट करें। विंडोज 11 पर, आपके डिवाइस में इस सुविधा के लिए आवश्यक टीपीएम चिप लगभग निश्चित रूप से मौजूद होगी। यदि आप पुराने कंप्यूटर या विंडोज 10 का उपयोग कर रहे हैं, तो पुष्टि के लिए अपने निर्माता के विनिर्देशों की जांच करें।
व्यवसाय मालिकों और आईटी प्रमुखों के लिए, अपनी अगली टीम मीटिंग में इसे शामिल करें: सुनिश्चित करें कि आपके कर्मचारी क्रोम 146 या उसके बाद के संस्करण का उपयोग कर रहे हैं, अपने आईटी विशेषज्ञ से विंडोज उपकरणों पर टीपीएम सक्रिय होने की पुष्टि करने के लिए कहें, और अपने प्रमुख व्यावसायिक ऐप्स से डीबीएससी समर्थन के बारे में आने वाली घोषणाओं पर नज़र रखें। प्रगति तेज़ी से हो रही है।
संक्षेप में कहें तो: क्रोम को अपडेट करें, अपने हार्डवेयर में टीपीएम चिप की जांच करें, और यह जानकर निश्चिंत रहें कि बहुत जल्द, कई वेबसाइटें चोरी हुए सेशन कुकीज़ को काम करने से रोकेंगी, जिससे सेशन कुकी चोरी के हमले रुक जाएंगे। कुकी मॉन्स्टर्स का अंत हो जाएगा!
नवीनतम साइबर सुरक्षा रुझानों, सुझावों और सर्वोत्तम प्रथाओं के बारे में जानें और उन्हें साझा करें - साथ ही नए खतरों के बारे में भी जानें।
गूगल ने कुकी सुरक्षा का एक नया उपाय विकसित और जारी किया है जो चोरी हुई सेशन कुकीज़ को किसी भी प्लेटफॉर्म पर बेकार कर देता है...
अधिक पढ़ें
नए बेंचमार्क डेटा के अनुसार, MDASH और Claude Mythos Preview शून्य-दिन की कमजोरियों का पता लगाने वाले शीर्ष AI एजेंट हैं...
अधिक पढ़ें
एक भूला हुआ पासवर्ड, लगभग एक आपदा। एक रिटेल स्टोर में मौजूद विंडोज मशीन में एक पासवर्ड कैश किया हुआ था...
अधिक पढ़ेंपारंपरिक फिश परीक्षण को मात देने वाले सकारात्मक दृष्टिकोण के साथ मानवीय जोखिमों पर अधिक पैनी नजर रखें।
