Учетные данные сеанса, привязанные к устройству: начинается пробная версия второго источника

Daniel Rubery

José Luis Zapata

DBSC начинает второе испытание Origin Bound Session Credentials, которое начнётся в октябре 2025 года . Этот этап расширяет тестирование до реальных условий и учитывает отзывы разработчиков, полученные в ходе первого испытания. Испытание Origin запланировано на начало февраля 2026 года .

Что нового в этом исследовании происхождения?

В этом выпуске основное внимание уделяется повышению надежности, согласованности и ясности потока DBSC, а также внедрению новых функций, обеспечивающих более гибкую интеграцию.

Расширенные возможности

• Поддержка межсайтовых сеансов: если у вас несколько сайтов используют один и тот же бэкэнд аутентификации, вы можете настроить сеансы DBSC для совместного использования ключей на этих сайтах.
• Новый диагностический заголовок: новый заголовок Secure-Session-Skipped объясняет, почему запрос на обновление не был завершен, что улучшает наблюдаемость во время тестирования.

Ключевые обновления протокола и совместимости

Поток DBSC включает несколько заметных технических изменений:

• Изменения имени заголовка: большинство заголовков начинаются с префикса Secure-Session- вместо Sec-Session .
• Новая схема JWT: новая схема JWT улучшает согласованность и стандартизацию во всех реализациях.
• Обновление статуса HTTP: DBSC использует 403 Forbidden вместо 401 Unauthorized в потоках вызовов.
• Незначительные изменения полей: некоторые параметры, такие как include_site , теперь являются обязательными, а не необязательными.

Подробный список обновлений смотрите в списке обновлений Chromium . Также см. руководство по интеграции .

Доступность платформы

Эта пробная версия Origin доступна на устройствах Windows с доверенными платформенными модулями (TPM) . Поддержка других платформ будет расширена.

Как принять участие

Если вы тестируете DBSC впервые, начните ручное тестирование, следуя руководству по тестированию . Интеграция с DevTools находится в процессе, поэтому отладка осуществляется на основе гистограмм Chrome и сетевых журналов.

Когда ваша реализация будет готова, зарегистрируйтесь для получения пробного токена Origin:

Добавьте свой токен на страницу, которая выдаёт заголовок Secure-Session-Registration (обычно это страница входа) . Токен не нужен при обновлении или регистрации.

Узнать больше

• DBSC-объяснитель
• Спецификация учетных данных сеанса, привязанного к устройству
• Руководство по интеграции

Поделитесь своим мнением

Мы с нетерпением ждем, как вы используете DBSC для защиты своих сеансов от кражи и перехвата файлов cookie. Поделитесь своим опытом и сообщите о проблемах в репозитории GitHub.

Принимая участие в этом испытании, вы помогаете формировать следующее поколение безопасности веб-сеансов.