פרטי כניסה לסשן לפי מכשיר (DBSC) מתחילים את תקופת הניסיון השנייה שלהם, החל מאוקטובר 2025. בשלב הזה, הבדיקה מתרחבת לסביבות מהעולם האמיתי, ומשולב בה משוב ממפתחים מהניסיון הראשון. תקופת הניסיון של התכונה מתוכננת להימשך עד תחילת פברואר 2026.
מה חדש בתקופת הניסיון הזו
הגרסה הזו מתמקדת בשיפור האמינות, העקביות והבהירות בתהליך של DBSC, וכוללת תכונות חדשות שמאפשרות שילוב גמיש יותר.
יכולות מורחבות
- תמיכה בסשנים באתרים שונים: אם יש לכם כמה אתרים שמשתפים את אותו קצה עורפי לאימות, אתם יכולים להגדיר את הסשנים של DBSC כך שישתפו מפתחות בין האתרים האלה.
- כותרת אבחון חדשה: הכותרת החדשה
Secure-Session-Skippedמסבירה למה בקשת רענון לא הושלמה, וכך משפרת את יכולת הצפייה במהלך הבדיקה.
עדכונים חשובים בפרוטוקול ובתאימות
תהליך DBSC כולל כמה שינויים טכניים חשובים:
- שינויים בשם הכותרת: רוב הכותרות מתחילות בקידומת
Secure-Session-במקום בקידומתSec-Session. - סכימת JWT חדשה: סכימת JWT חדשה משפרת את העקביות והסטנדרטיזציה בהטמעות.
- עדכון סטטוס HTTP: ב-DBSC נעשה שימוש ב-403 Forbidden במקום ב-401 Unauthorized בתהליכי אימות.
- שינויים קלים בשדות: חלק מהפרמטרים, כמו
include_site, הם חובה במקום אופציונליים.
רשימה מפורטת של העדכונים זמינה ברשימת הבעיות הדחופות של Chromium. אפשר לעיין גם במדריך השילוב.
זמינות הפלטפורמה
תקופת הניסיון הזו זמינה במכשירי Windows עם מודולי פלטפורמה מהימנים (TPM). התמיכה בפלטפורמות אחרות תורחב.
איך משתתפים
אם אתם בודקים את DBSC בפעם הראשונה, אתם צריכים להתחיל בבדיקה ידנית לפי מדריך הבדיקה. השילוב של כלי הפיתוח נמצא בתהליך, ולכן ניפוי הבאגים מתבסס על היסטוגרמות של Chrome ועל יומני רשת.
כשההטמעה מוכנה, נרשמים לטוקן של ניסיון מקור:
מוסיפים את האסימון לדף שבו מונפק הכותר Secure-Session-Registration, כלומר בדרך כלל דף הכניסה. לא צריך את האסימון בנקודות הקצה של הרענון או הרישום.
מידע נוסף
שיתוף משוב
נשמח לראות איך תטמיעו את DBSC כדי להגן על הסשנים שלכם מפני גניבה וחטיפה של קובצי Cookie. אתם יכולים לשתף את החוויה שלכם ולדווח על בעיות במאגר GitHub.
ההשתתפות בניסוי הזה תעזור לנו לעצב את הדור הבא של אבטחת סשנים באינטרנט.