Credenciais de sessões vinculadas ao dispositivo: o segundo teste de origem começa

Daniel Rubery

José Luis Zapata

As credenciais de sessão vinculadas ao dispositivo (DBSC, na sigla em inglês) vão começar o segundo teste de origem em outubro de 2025. Nessa fase, os testes são expandidos para ambientes do mundo real e incorporam o feedback dos desenvolvedores do primeiro teste. O teste de origem está programado para ser executado até o início de fevereiro de 2026.

O que há de novo neste teste de origem

Esta versão se concentra em melhorar a confiabilidade, a consistência e a clareza no fluxo do DBSC, além de introduzir novos recursos que oferecem uma integração mais flexível.

Recursos expandidos

• Suporte a sessões entre sites:se você tiver vários sites compartilhando o mesmo back-end de autenticação, configure as sessões do DBSC para compartilhar chaves entre esses sites.
• Novo cabeçalho de diagnóstico:o novo cabeçalho Secure-Session-Skipped explica por que uma solicitação de atualização não foi concluída, melhorando a capacidade de observação durante os testes.

Principais atualizações de protocolo e compatibilidade

O fluxo do DBSC inclui várias mudanças técnicas importantes:

• Mudanças no nome do cabeçalho:a maioria dos cabeçalhos começa com o prefixo Secure-Session- em vez de Sec-Session.
• Novo esquema JWT:um novo esquema JWT melhora a consistência e a padronização em todas as implementações.
• Atualização do status HTTP:o DBSC usa 403 Forbidden em vez de 401 Unauthorized em fluxos de desafio.
• Mudanças secundárias nos campos:alguns parâmetros, como include_site, são obrigatórios em vez de opcionais.

Para uma lista detalhada de atualizações, consulte a lista de urgências do Chromium. Consulte também o guia de integração.

Disponibilidade da plataforma

Esse teste de origem está disponível em dispositivos Windows com módulos de plataforma confiável (TPM). O suporte a outras plataformas será ampliado.

Como participar

Se você estiver testando o DBSC pela primeira vez, comece com o teste manual seguindo o guia de teste. A integração do DevTools está em andamento. Portanto, a depuração depende dos histogramas do Chrome e dos registros de rede.

Quando a implementação estiver pronta, registre-se para receber um token de teste de origem:

Adicione o token à página que emite o cabeçalho Secure-Session-Registration, ou seja, geralmente a página de login. Não é necessário o token nos endpoints de atualização ou registro.

Saiba mais

• Explicação sobre as credenciais de sessões vinculadas ao dispositivo
• Especificação de credenciais de sessões vinculadas ao dispositivo
• Guia de integração

Envie feedback

Estamos ansiosos para saber como você vai adotar o DBSC para proteger suas sessões contra roubo e sequestro de cookies. Compartilhe sua experiência e relate problemas no repositório do GitHub.

Ao participar desse teste de origem, você ajuda a moldar a próxima geração de segurança de sessão da Web.