Device Bound Session Credentials (DBSC) start in oktober 2025 met zijn tweede proefperiode . Deze fase breidt de tests uit naar praktijkomgevingen en verwerkt feedback van ontwikkelaars uit de eerste proefperiode. De proefperiode loopt naar verwachting tot begin februari 2026 .
Wat is er nieuw in dit oorsprongsonderzoek?
Deze release richt zich op het verbeteren van de betrouwbaarheid, consistentie en duidelijkheid in de DBSC-stroom. Tegelijkertijd worden er nieuwe functies geïntroduceerd die zorgen voor flexibelere integratie.
Uitgebreide mogelijkheden
- Ondersteuning voor sessies tussen sites: als er meerdere sites zijn die dezelfde authenticatie-backend delen, kunt u DBSC-sessies configureren om sleutels tussen die sites te delen.
- Nieuwe diagnostische header: de nieuwe
Secure-Session-Skippedheader legt uit waarom een vernieuwingsverzoek niet is voltooid, waardoor de zichtbaarheid tijdens het testen wordt verbeterd.
Belangrijkste protocol- en compatibiliteitsupdates
De DBSC-stroom omvat een aantal opvallende technische wijzigingen:
- Wijzigingen in headernamen: de meeste headers beginnen met het voorvoegsel
Secure-Session-in plaats vanSec-Session. - Nieuw JWT-schema: een nieuw JWT-schema verbetert de consistentie en standaardisatie in implementaties.
- HTTP-statusupdate: DBSC gebruikt 403 Forbidden in plaats van 401 Unauthorized in challenge flows.
- Kleine veldwijzigingen: sommige parameters, zoals
include_site, zijn verplicht in plaats van optioneel.
Voor een gedetailleerde lijst met updates, zie de Chromium-hotlist . Zie ook de integratiehandleiding .
Beschikbaarheid van het platform
Deze Origin-proefversie is beschikbaar op Windows-apparaten met Trusted Platform Modules (TPM) . Ondersteuning voor andere platforms wordt uitgebreid.
Hoe deel te nemen
Als u DBSC voor de eerste keer test, start dan met handmatig testen door de testhandleiding te volgen. De integratie van DevTools is nog in volle gang, dus foutopsporing is afhankelijk van Chrome-histogrammen en netwerklogboeken.
Wanneer uw implementatie klaar is, registreert u zich voor een origin trial token:
Voeg uw token toe aan de pagina die de Secure-Session-Registration header publiceert, meestal uw inlogpagina . U hebt het token niet nodig op refresh- of registratie-eindpunten.
Meer informatie
Deel uw feedback
We zijn benieuwd hoe jullie DBSC inzetten om je sessies te beschermen tegen cookiediefstal en -kaping. Deel je ervaringen en meld problemen in de GitHub-repository.
Door deel te nemen aan deze proef helpt u de volgende generatie websessiebeveiliging vorm te geven.