Device Bound Session Credentials(DBSC)の2 回目のオリジン トライアルが、2025 年 10 月に開始されます。このフェーズでは、テストを実際の環境に拡大し、最初のトライアルで得られたデベロッパーのフィードバックを組み込みます。オリジン トライアルは、2026 年 2 月上旬まで実施される予定です。
このオリジン トライアルの新機能
このリリースでは、DBSC フローの信頼性、一貫性、明確性の向上に重点を置き、より柔軟な統合を実現する新機能が導入されています。
拡張機能
- クロスサイト セッションのサポート: 同じ認証バックエンドを共有する複数のサイトがある場合は、これらのサイト間でキーを共有するように DBSC セッションを構成できます。
- 新しい診断ヘッダー: 新しい
Secure-Session-Skippedヘッダーは、更新リクエストが完了しなかった理由を説明し、テスト中のオブザーバビリティを向上させます。
プロトコルと互換性に関する主な更新
DBSC フローには、いくつかの重要な技術的な変更が含まれています。
- ヘッダー名の変更: ほとんどのヘッダーは
Sec-SessionではなくSecure-Session-プレフィックスで始まります。 - 新しい JWT スキーマ: 新しい JWT スキーマにより、実装全体で一貫性と標準化が向上します。
- HTTP ステータスの更新: DBSC は、チャレンジ フローで 401 Unauthorized ではなく 403 Forbidden を使用します。
- フィールドの軽微な変更:
include_siteなどの一部のパラメータは、省略可能ではなく必須になります。
更新の詳しいリストについては、Chromium のホットリストをご覧ください。統合ガイドもご覧ください。
プラットフォームの可用性
このオリジン トライアルは、トラステッド プラットフォーム モジュール(TPM)を搭載した Windows デバイスで利用できます。他のプラットフォームのサポートも拡大されます。
応募方法
DBSC を初めてテストする場合は、テストガイドに沿って手動テストを開始してください。DevTools の統合は進行中であるため、デバッグは Chrome のヒストグラムとネットワーク ログに依存しています。
実装の準備ができたら、オリジン トライアル トークンを登録します。
Secure-Session-Registration ヘッダーを発行するページ(通常はログインページ)にトークンを追加します。更新エンドポイントまたは登録エンドポイントでトークンは必要ありません。
その他の情報
フィードバックをお寄せください
DBSC を導入して、Cookie の盗難や不正使用からセッションを保護する方法について説明します。GitHub リポジトリで、ご自身の体験を共有したり、問題を報告したりできます。
このオリジン トライアルに参加することで、次世代のウェブ セッション セキュリティの形成に貢献できます。