Drugi okres próbny danych uwierzytelniających sesji powiązanych z urządzeniem (DBSC) rozpocznie się w październiku 2025 r. W tej fazie testy są rozszerzane na środowiska rzeczywiste i uwzględniają opinie deweloperów z pierwszego etapu próbnego. Testowanie w ramach programu Origin Trial ma potrwać do początku lutego 2026 r.
Co nowego w tym eksperymencie
Ta wersja koncentruje się na zwiększeniu niezawodności, spójności i przejrzystości procesu DBSC, a także wprowadza nowe funkcje, które zapewniają większą elastyczność integracji.
Rozszerzone możliwości
- Obsługa sesji w wielu witrynach: jeśli masz kilka witryn, które korzystają z tego samego backendu uwierzytelniania, możesz skonfigurować sesje DBSC tak, aby klucze były udostępniane w tych witrynach.
- Nowy nagłówek diagnostyczny: nowy nagłówek
Secure-Session-Skippedwyjaśnia, dlaczego żądanie odświeżenia nie zostało zrealizowane, co zwiększa przejrzystość podczas testowania.
Najważniejsze aktualizacje protokołu i zgodności
Proces DBSC obejmuje kilka istotnych zmian technicznych:
- Zmiany nazw nagłówków: większość nagłówków zaczyna się od prefiksu
Secure-Session-zamiastSec-Session. - Nowy schemat JWT: nowy schemat JWT zwiększa spójność i standaryzację wdrożeń.
- Aktualizacja stanu HTTP: w przypadku przepływów weryfikacji DBSC używa kodu 403 Forbidden zamiast 401 Unauthorized.
- Drobne zmiany w polach: niektóre parametry, np.
include_site, są wymagane zamiast opcjonalnych.
Szczegółową listę aktualizacji znajdziesz na liście najnowszych zmian w Chromium. Zapoznaj się też z przewodnikiem integracji.
Dostępność platformy
Ta wersja próbna jest dostępna na urządzeniach z systemem Windows z modułami zaufanej platformy (TPM). Obsługa innych platform zostanie rozszerzona.
Zasady uczestnictwa
Jeśli testujesz DBSC po raz pierwszy, rozpocznij testowanie ręczne, korzystając z przewodnika po testowaniu. Integracja z Narzędziami deweloperskimi jest w trakcie realizacji, więc debugowanie opiera się na histogramach Chrome i dziennikach sieci.
Gdy implementacja będzie gotowa, zarejestruj się, aby otrzymać token wersji próbnej:
Dodaj token do strony, która wysyła nagłówek Secure-Session-Registration, czyli zwykle do strony logowania. Nie potrzebujesz tokena w przypadku punktów końcowych odświeżania ani rejestracji.
Więcej informacji
- Wiadomości dotyczące DBSC
- Specyfikacja danych uwierzytelniających sesji powiązanych z urządzeniem
- Przewodnik po integracji
Prześlij opinię
Cieszymy się, że będziesz stosować DBSC, aby chronić sesje przed kradzieżą i przechwyceniem plików cookie. Podziel się swoimi doświadczeniami i zgłoś problemy w repozytorium GitHub.
Biorąc udział w tym eksperymencie, pomagasz kształtować przyszłość zabezpieczeń sesji internetowych.