Las Credenciales de sesión vinculadas al dispositivo (DBSC) comenzarán su segunda prueba de origen en octubre de 2025. En esta fase, se expanden las pruebas a entornos del mundo real y se incorporan los comentarios de los desarrolladores de la primera prueba. La prueba de origen está programada para ejecutarse hasta principios de febrero de 2026.
Novedades de esta prueba de origen
Esta versión se enfoca en mejorar la confiabilidad, la coherencia y la claridad del flujo de DBSC, además de introducir nuevas funciones que proporcionan una integración más flexible.
Capacidades expandidas
- Compatibilidad con sesiones en varios sitios: Si tienes varios sitios que comparten el mismo backend de autenticación, puedes configurar sesiones de DBSC para compartir claves en esos sitios.
- Nuevo encabezado de diagnóstico: El nuevo encabezado
Secure-Session-Skippedexplica por qué no se completó una solicitud de actualización, lo que mejora la observabilidad durante las pruebas.
Actualizaciones clave de protocolos y compatibilidad
El flujo del DBSC incluye varios cambios técnicos notables:
- Cambios en los nombres de los encabezados: La mayoría de los encabezados comienzan con el prefijo
Secure-Session-en lugar deSec-Session. - Nuevo esquema de JWT: Un nuevo esquema de JWT mejora la coherencia y la estandarización en todas las implementaciones.
- Actualización del estado de HTTP: El DBSC usa 403 Forbidden en lugar de 401 Unauthorized en los flujos de desafíos.
- Cambios menores en los campos: Algunos parámetros, como
include_site, son obligatorios en lugar de opcionales.
Para obtener una lista detallada de las actualizaciones, consulta la lista de urgencias de Chromium. Consulta también la guía de integración.
Disponibilidad de la plataforma
Esta prueba de origen está disponible en dispositivos Windows con módulos de plataforma de confianza (TPM). Se ampliará la compatibilidad con otras plataformas.
Cómo participar
Si es la primera vez que pruebas DBSC, comienza con las pruebas manuales siguiendo la guía de pruebas. La integración de Herramientas para desarrolladores está en curso, por lo que la depuración se basa en los histogramas de Chrome y los registros de red.
Cuando tu implementación esté lista, regístrate para obtener un token de prueba de origen:
Agrega tu token a la página que emite el encabezado Secure-Session-Registration, es decir, por lo general, tu página de acceso. No necesitas el token en los extremos de actualización o registro.
Más información
- Explicación de las DBSC
- Especificación de credenciales de sesión vinculadas al dispositivo
- Guía de integración
Comparte tus comentarios
Nos entusiasma ver cómo adoptas DBSC para proteger tus sesiones contra el robo y la usurpación de cookies. Comparte tu experiencia y denuncia problemas en el repositorio de GitHub.
Si participas en esta prueba de origen, ayudarás a dar forma a la próxima generación de seguridad de sesiones web.