অরিজিন ট্রায়াল: Chrome-এ ডিভাইস বাউন্ড সেশন শংসাপত্র

José Luis Zapata

ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল (DBSC) হল একটি নতুন ওয়েব ক্ষমতা যা ব্যবহারকারীর সেশনগুলিকে কুকি চুরি এবং সেশন হাইজ্যাকিং থেকে রক্ষা করার জন্য ডিজাইন করা হয়েছে৷ এই বৈশিষ্ট্যটি এখন Chrome 135-এ অরিজিন ট্রায়াল হিসাবে পরীক্ষার জন্য উপলব্ধ।

পটভূমি

কুকিজ আধুনিক ওয়েব প্রমাণীকরণে একটি গুরুত্বপূর্ণ ভূমিকা পালন করে, ব্যবহারকারীদের ব্রাউজিং সেশন জুড়ে লগ ইন থাকতে দেয়। যাইহোক, আক্রমণকারীরা মাল্টি-ফ্যাক্টর প্রমাণীকরণ এবং অন্যান্য লগইন নিরাপত্তা ব্যবস্থাকে বাইপাস করে সেশন হাইজ্যাক করতে চুরি হওয়া প্রমাণীকরণ কুকিগুলিকে ক্রমবর্ধমানভাবে ব্যবহার করে।

ম্যালওয়্যার অপারেটররা প্রায়শই আপোসকৃত ডিভাইস থেকে সেশন কুকিজ বের করে দেয়, ব্যবহারকারীর অ্যাকাউন্টে অননুমোদিত অ্যাক্সেস সক্ষম করে। যেহেতু কুকিগুলি বহনকারী টোকেন, তাই তারা দখলের প্রমাণের প্রয়োজন ছাড়াই অ্যাক্সেস মঞ্জুর করে—এগুলিকে আক্রমণকারীদের জন্য একটি লাভজনক লক্ষ্য করে তোলে৷

ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল (DBSC) একটি ডিভাইসের সাথে আবদ্ধ একটি প্রমাণীকৃত সেশন তৈরি করে কুকি চুরিকে ব্যাহত করার লক্ষ্য রাখে। এই পদ্ধতিটি অন্য ডিভাইস থেকে এক্সফিল্ট্রেটেড কুকিজ অ্যাকাউন্ট অ্যাক্সেস করার সুযোগকে কমিয়ে দেয়।

এটা কিভাবে কাজ করে

DBSC একটি নতুন API প্রবর্তন করেছে যা সার্ভারগুলিকে একটি ডিভাইসের সাথে আবদ্ধ একটি প্রমাণীকৃত সেশন তৈরি করতে দেয়। যখন একটি সেশন শুরু করা হয়, ব্রাউজার একটি পাবলিক-প্রাইভেট কী জোড়া তৈরি করে, প্রাইভেট কী সংরক্ষণ করে নিরাপদে হার্ডওয়্যার-ব্যাকড স্টোরেজ যেমন একটি বিশ্বস্ত প্ল্যাটফর্ম মডিউল (TPM) ব্যবহার করে।

ব্রাউজার তারপর একটি নিয়মিত সেশন কুকি ইস্যু করে। সেশনের জীবদ্দশায়, ব্রাউজারটি পর্যায়ক্রমে ব্যক্তিগত কী-এর অধিকার প্রমাণ করে এবং সেশন কুকি রিফ্রেশ করে। কুকির জীবনকাল যথেষ্ট সংক্ষিপ্ত করা যেতে পারে যাতে কুকি চুরি করা আক্রমণকারীদের জন্য লাভজনক হবে না।

মূল উপাদান

• অধিবেশন নিবন্ধন :

  • যখন একজন ব্যবহারকারী লগ ইন করে, সার্ভার Sec-Session-Registration HTTP হেডার ব্যবহার করে একটি ডিভাইস-বাউন্ড সেশনের অনুরোধ করে।
  • ব্রাউজার একটি নতুন কী জোড়া তৈরি করে, ব্যক্তিগত কী নিরাপদে সংরক্ষণ করে।
  • একটি স্বল্পস্থায়ী প্রমাণীকরণ কুকিও এই কী জোড়ার সাথে প্রতিষ্ঠিত এবং আবদ্ধ।
  • সার্ভারটি সেশনটিকে সংশ্লিষ্ট পাবলিক কী-এর সাথে সংযুক্ত করে, নিশ্চিত করে যে সেশনটি শুধুমাত্র আসল ডিভাইসে ব্যবহার করা যেতে পারে।

• সেশন রিফ্রেশ এবং দখলের প্রমাণ :

  • স্বল্পকালীন কুকির মেয়াদ শেষ হলে, Chrome একটি সেশন রিফ্রেশ ট্রিগার করে।
  • ব্রাউজার একটি সার্ভার-সংজ্ঞায়িত রিফ্রেশ এন্ডপয়েন্টে একটি অনুরোধ পাঠায় (সেশন নিবন্ধনের সময় প্রদান করা হয়), এবং, যদি সার্ভার একটি প্রদান করে, Sec-Session-Challenge হেডার ব্যবহার করে একটি স্বাক্ষরিত চ্যালেঞ্জ।
  • সার্ভার সেশনের ব্যক্তিগত কী দিয়ে স্বাক্ষরিত প্রতিক্রিয়া যাচাই করে দখলের প্রমাণ যাচাই করে।
  • বৈধ হলে, সার্ভার একটি নতুন স্বল্প-কালীন কুকি জারি করে, সেশনটি চালিয়ে যাওয়ার অনুমতি দেয়।

এই পদ্ধতির একটি সুবিধা হল যে ক্রোম অনুরোধগুলিকে পিছিয়ে দেয় যা অন্যথায় রিফ্রেশ করা স্বল্পকালীন কুকি অনুপস্থিত হবে। এই আচরণটি সেশন-বাউন্ড কুকিগুলিকে পুরো সেশন জুড়ে ধারাবাহিকভাবে উপলভ্য রাখে এবং বিকাশকারীদের সেগুলির উপর নির্ভর করার অনুমতি দেয় যেখানে কুকিগুলি স্বয়ংক্রিয় পুনর্নবীকরণ ছাড়াই মেয়াদ শেষ বা অদৃশ্য হয়ে যেতে পারে।

উদাহরণ বাস্তবায়ন

একটি সার্ভার এই মত একটি ডিভাইস-বাউন্ড সেশন অনুরোধ করতে পারে:

HTTP/1.1 200 OK
Sec-Session-Registration: (ES256);path="/refresh";challenge="12345"

যখন সেশন সক্রিয় থাকে, সার্ভার এটি একটি চ্যালেঞ্জ-প্রতিক্রিয়া বিনিময়ের মাধ্যমে যাচাই করতে পারে:

HTTP/1.1 401 Unauthorized
Sec-Session-Challenge: "verify-session"

ব্রাউজার এর সাথে সাড়া দেয়:

POST /refresh
Sec-Session-Response: "signed-proof"

সুবিধা

• কুকি চুরি প্রশমিত করে : সেশন কুকিজ চুরি হলেও অন্য ডিভাইস থেকে ব্যবহার করা যাবে না।
• বড় UX পরিবর্তন ছাড়া নিরাপত্তা বাড়ায় : অতিরিক্ত ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন ছাড়াই পটভূমিতে স্বচ্ছভাবে কাজ করে।
• দীর্ঘস্থায়ী সেশন কুকিজের উপর নির্ভরতা হ্রাস করে : যতক্ষণ সেশনটি আসল ডিভাইসে বৈধ থাকে ততক্ষণ স্বল্পকালীন কুকিগুলি স্বয়ংক্রিয়ভাবে রিফ্রেশ হয়৷
• স্ট্যান্ডার্ড ক্রিপ্টোগ্রাফিক মেকানিজম সমর্থন করে : যখন উপলব্ধ থাকে তখন TPM-ব্যাকড সুরক্ষিত সঞ্চয়স্থানের সুবিধা দেয়, যা বহিষ্কারের বিরুদ্ধে শক্তিশালী সুরক্ষা প্রদান করে।

গোপনীয়তা এবং নিরাপত্তা বিবেচনা

DBSC ব্যবহারকারীর গোপনীয়তা রক্ষা করার সময় নিরাপত্তা বাড়ানোর জন্য ডিজাইন করা হয়েছে:

• কোন অতিরিক্ত ট্র্যাকিং ভেক্টর নেই : প্রতিটি সেশন একটি অনন্য কী জোড়ার সাথে যুক্ত, ক্রস-সেশন ট্র্যাকিং প্রতিরোধ করে।
• দীর্ঘমেয়াদী ডিভাইস ফিঙ্গারপ্রিন্টিং নেই : ব্যবহারকারীর দ্বারা স্পষ্টভাবে অনুমতি না দেওয়া পর্যন্ত সার্ভার একই ডিভাইসে বিভিন্ন সেশনের সাথে সম্পর্ক স্থাপন করতে পারে না।
• ব্যবহারকারীদের দ্বারা ক্লিয়ারযোগ্য : ব্যবহারকারী সাইট ডেটা সাফ করলে সেশন এবং কীগুলি মুছে ফেলা হয়৷
• কুকি নীতির সাথে সারিবদ্ধ : DBSC কুকির মতো একই সাইট-ভিত্তিক স্কোপিং অনুসরণ করে, এটি নিশ্চিত করে যে এটি ক্রস-অরিজিন ডেটা লিক প্রবর্তন করে না।

চেষ্টা করে দেখুন

ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল অরিজিন ট্রায়াল Chrome 135 থেকে পাওয়া যায়।

স্থানীয় পরীক্ষার জন্য

স্থানীয়ভাবে ডিবিএসসি পরীক্ষা করতে:

• chrome://flags#device-bound-session-credentials এ যান এবং বৈশিষ্ট্যটি সক্ষম করুন।

পাবলিক পরীক্ষার জন্য

একটি সর্বজনীন পরিবেশে উৎপত্তি ট্রায়াল সহ DBSC পরীক্ষা করতে:

1. Chrome অরিজিন ট্রায়াল পৃষ্ঠাতে যান এবং সাইন আপ করুন৷

2. আপনার সাইটের HTTP হেডারে প্রদত্ত টোকেন যোগ করুন:

   Origin-Trial: <your-trial-token>
   

সম্পদ

• ডিভাইস আবদ্ধ সেশন শংসাপত্রের স্পেসিফিকেশন
• DBSC এর জন্য GitHub সংগ্রহস্থল
• ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল (DBSC) ইন্টিগ্রেশন গাইড

জড়িত হন এবং ওয়েব নিরাপত্তার ভবিষ্যত গঠন করুন

ওয়েব প্রমাণীকরণ আরও সুরক্ষিত করতে আমাদের সাথে যোগ দিন! আমরা ওয়েব ডেভেলপারদেরকে DBSC পরীক্ষা করতে, তাদের অ্যাপ্লিকেশনে একীভূত করতে এবং প্রতিক্রিয়া শেয়ার করতে উৎসাহিত করি। আপনি GitHub- এ আমাদের সাথে যুক্ত হতে পারেন বা ওয়েব অ্যাপ্লিকেশন সিকিউরিটি ওয়ার্কিং গ্রুপের সাথে আলোচনায় অংশগ্রহণ করতে পারেন।

DBSC বাস্তবায়নের মাধ্যমে আমরা সম্মিলিতভাবে সেশন হাইজ্যাকিং ঝুঁকি কমাতে পারি এবং ব্যবহারকারীদের জন্য প্রমাণীকরণ নিরাপত্তা বাড়াতে পারি। আজই শুরু করুন এবং ওয়েব নিরাপত্তার ভবিষ্যৎ নির্ধারণ করতে সাহায্য করুন!

José Luis Zapata

ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল (DBSC) হল একটি নতুন ওয়েব ক্ষমতা যা ব্যবহারকারীর সেশনগুলিকে কুকি চুরি এবং সেশন হাইজ্যাকিং থেকে রক্ষা করার জন্য ডিজাইন করা হয়েছে৷ এই বৈশিষ্ট্যটি এখন Chrome 135-এ অরিজিন ট্রায়াল হিসাবে পরীক্ষার জন্য উপলব্ধ।

পটভূমি

কুকিজ আধুনিক ওয়েব প্রমাণীকরণে একটি গুরুত্বপূর্ণ ভূমিকা পালন করে, ব্যবহারকারীদের ব্রাউজিং সেশন জুড়ে লগ ইন থাকতে দেয়। যাইহোক, আক্রমণকারীরা মাল্টি-ফ্যাক্টর প্রমাণীকরণ এবং অন্যান্য লগইন নিরাপত্তা ব্যবস্থাকে বাইপাস করে সেশন হাইজ্যাক করতে চুরি হওয়া প্রমাণীকরণ কুকিগুলিকে ক্রমবর্ধমানভাবে ব্যবহার করে।

ম্যালওয়্যার অপারেটররা প্রায়শই আপোসকৃত ডিভাইস থেকে সেশন কুকিজ বের করে দেয়, ব্যবহারকারীর অ্যাকাউন্টে অননুমোদিত অ্যাক্সেস সক্ষম করে। যেহেতু কুকিগুলি বহনকারী টোকেন, তাই তারা দখলের প্রমাণের প্রয়োজন ছাড়াই অ্যাক্সেস মঞ্জুর করে—এগুলিকে আক্রমণকারীদের জন্য একটি লাভজনক লক্ষ্য করে তোলে৷

ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল (DBSC) একটি ডিভাইসের সাথে আবদ্ধ একটি প্রমাণীকৃত সেশন তৈরি করে কুকি চুরিকে ব্যাহত করার লক্ষ্য রাখে। এই পদ্ধতিটি অন্য ডিভাইস থেকে এক্সফিল্ট্রেটেড কুকিজ অ্যাকাউন্ট অ্যাক্সেস করার সুযোগকে কমিয়ে দেয়।

এটা কিভাবে কাজ করে

DBSC একটি নতুন API প্রবর্তন করেছে যা সার্ভারগুলিকে একটি ডিভাইসের সাথে আবদ্ধ একটি প্রমাণীকৃত সেশন তৈরি করতে দেয়। যখন একটি সেশন শুরু করা হয়, ব্রাউজার একটি পাবলিক-প্রাইভেট কী জোড়া তৈরি করে, প্রাইভেট কী সংরক্ষণ করে নিরাপদে হার্ডওয়্যার-ব্যাকড স্টোরেজ যেমন একটি বিশ্বস্ত প্ল্যাটফর্ম মডিউল (TPM) ব্যবহার করে।

ব্রাউজার তারপর একটি নিয়মিত সেশন কুকি ইস্যু করে। সেশনের জীবদ্দশায়, ব্রাউজারটি পর্যায়ক্রমে ব্যক্তিগত কী-এর অধিকার প্রমাণ করে এবং সেশন কুকি রিফ্রেশ করে। কুকির জীবনকাল যথেষ্ট সংক্ষিপ্ত করা যেতে পারে যাতে কুকি চুরি করা আক্রমণকারীদের জন্য লাভজনক হবে না।

মূল উপাদান

• অধিবেশন নিবন্ধন :

  • যখন একজন ব্যবহারকারী লগ ইন করে, সার্ভার Sec-Session-Registration HTTP হেডার ব্যবহার করে একটি ডিভাইস-বাউন্ড সেশনের অনুরোধ করে।
  • ব্রাউজার একটি নতুন কী জোড়া তৈরি করে, ব্যক্তিগত কী নিরাপদে সংরক্ষণ করে।
  • একটি স্বল্পস্থায়ী প্রমাণীকরণ কুকিও এই কী জোড়ার সাথে প্রতিষ্ঠিত এবং আবদ্ধ।
  • সার্ভারটি সেশনটিকে সংশ্লিষ্ট পাবলিক কী-এর সাথে সংযুক্ত করে, নিশ্চিত করে যে সেশনটি শুধুমাত্র আসল ডিভাইসে ব্যবহার করা যেতে পারে।

• সেশন রিফ্রেশ এবং দখলের প্রমাণ :

  • স্বল্পকালীন কুকির মেয়াদ শেষ হলে, Chrome একটি সেশন রিফ্রেশ ট্রিগার করে।
  • ব্রাউজার একটি সার্ভার-সংজ্ঞায়িত রিফ্রেশ এন্ডপয়েন্টে একটি অনুরোধ পাঠায় (সেশন নিবন্ধনের সময় প্রদান করা হয়), এবং, যদি সার্ভার একটি প্রদান করে, Sec-Session-Challenge হেডার ব্যবহার করে একটি স্বাক্ষরিত চ্যালেঞ্জ।
  • সার্ভার সেশনের ব্যক্তিগত কী দিয়ে স্বাক্ষরিত প্রতিক্রিয়া যাচাই করে দখলের প্রমাণ যাচাই করে।
  • বৈধ হলে, সার্ভার একটি নতুন স্বল্প-কালীন কুকি জারি করে, সেশনটি চালিয়ে যাওয়ার অনুমতি দেয়।

এই পদ্ধতির একটি সুবিধা হল যে ক্রোম অনুরোধগুলিকে পিছিয়ে দেয় যা অন্যথায় রিফ্রেশ করা স্বল্পকালীন কুকি অনুপস্থিত হবে। এই আচরণটি সেশন-বাউন্ড কুকিগুলিকে পুরো সেশন জুড়ে ধারাবাহিকভাবে উপলভ্য রাখে এবং বিকাশকারীদের সেগুলির উপর নির্ভর করার অনুমতি দেয় যেখানে কুকিগুলি স্বয়ংক্রিয় পুনর্নবীকরণ ছাড়াই মেয়াদ শেষ বা অদৃশ্য হয়ে যেতে পারে।

উদাহরণ বাস্তবায়ন

একটি সার্ভার এই মত একটি ডিভাইস-বাউন্ড সেশন অনুরোধ করতে পারে:

HTTP/1.1 200 OK
Sec-Session-Registration: (ES256);path="/refresh";challenge="12345"

যখন সেশন সক্রিয় থাকে, সার্ভার এটি একটি চ্যালেঞ্জ-প্রতিক্রিয়া বিনিময়ের মাধ্যমে যাচাই করতে পারে:

HTTP/1.1 401 Unauthorized
Sec-Session-Challenge: "verify-session"

ব্রাউজার এর সাথে সাড়া দেয়:

POST /refresh
Sec-Session-Response: "signed-proof"

সুবিধা

• কুকি চুরি প্রশমিত করে : সেশন কুকিজ চুরি হলেও অন্য ডিভাইস থেকে ব্যবহার করা যাবে না।
• বড় UX পরিবর্তন ছাড়া নিরাপত্তা বাড়ায় : অতিরিক্ত ব্যবহারকারীর মিথস্ক্রিয়া প্রয়োজন ছাড়াই পটভূমিতে স্বচ্ছভাবে কাজ করে।
• দীর্ঘস্থায়ী সেশন কুকিজের উপর নির্ভরতা হ্রাস করে : যতক্ষণ সেশনটি আসল ডিভাইসে বৈধ থাকে ততক্ষণ স্বল্পকালীন কুকিগুলি স্বয়ংক্রিয়ভাবে রিফ্রেশ হয়৷
• স্ট্যান্ডার্ড ক্রিপ্টোগ্রাফিক মেকানিজম সমর্থন করে : যখন উপলব্ধ থাকে তখন TPM-ব্যাকড সুরক্ষিত সঞ্চয়স্থানের সুবিধা দেয়, যা বহিষ্কারের বিরুদ্ধে শক্তিশালী সুরক্ষা প্রদান করে।

গোপনীয়তা এবং নিরাপত্তা বিবেচনা

DBSC ব্যবহারকারীর গোপনীয়তা রক্ষা করার সময় নিরাপত্তা বাড়ানোর জন্য ডিজাইন করা হয়েছে:

• কোন অতিরিক্ত ট্র্যাকিং ভেক্টর নেই : প্রতিটি সেশন একটি অনন্য কী জোড়ার সাথে যুক্ত, ক্রস-সেশন ট্র্যাকিং প্রতিরোধ করে।
• দীর্ঘমেয়াদী ডিভাইস ফিঙ্গারপ্রিন্টিং নেই : ব্যবহারকারীর দ্বারা স্পষ্টভাবে অনুমতি না দেওয়া পর্যন্ত সার্ভার একই ডিভাইসে বিভিন্ন সেশনের সাথে সম্পর্ক স্থাপন করতে পারে না।
• ব্যবহারকারীদের দ্বারা ক্লিয়ারযোগ্য : ব্যবহারকারী সাইট ডেটা সাফ করলে সেশন এবং কীগুলি মুছে ফেলা হয়৷
• কুকি নীতির সাথে সারিবদ্ধ : DBSC কুকির মতো একই সাইট-ভিত্তিক স্কোপিং অনুসরণ করে, এটি নিশ্চিত করে যে এটি ক্রস-অরিজিন ডেটা লিক প্রবর্তন করে না।

চেষ্টা করে দেখুন

ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল অরিজিন ট্রায়াল Chrome 135 থেকে পাওয়া যায়।

স্থানীয় পরীক্ষার জন্য

স্থানীয়ভাবে ডিবিএসসি পরীক্ষা করতে:

• chrome://flags#device-bound-session-credentials এ যান এবং বৈশিষ্ট্যটি সক্ষম করুন।

পাবলিক পরীক্ষার জন্য

একটি সর্বজনীন পরিবেশে উৎপত্তি ট্রায়াল সহ DBSC পরীক্ষা করতে:

1. Chrome অরিজিন ট্রায়াল পৃষ্ঠাতে যান এবং সাইন আপ করুন৷

2. আপনার সাইটের HTTP হেডারে প্রদত্ত টোকেন যোগ করুন:

   Origin-Trial: <your-trial-token>
   

সম্পদ

• ডিভাইস আবদ্ধ সেশন শংসাপত্রের স্পেসিফিকেশন
• DBSC এর জন্য GitHub সংগ্রহস্থল
• ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল (DBSC) ইন্টিগ্রেশন গাইড

জড়িত হন এবং ওয়েব নিরাপত্তার ভবিষ্যত গঠন করুন

ওয়েব প্রমাণীকরণ আরও সুরক্ষিত করতে আমাদের সাথে যোগ দিন! আমরা ওয়েব ডেভেলপারদেরকে DBSC পরীক্ষা করতে, তাদের অ্যাপ্লিকেশনে একীভূত করতে এবং প্রতিক্রিয়া শেয়ার করতে উৎসাহিত করি। আপনি GitHub- এ আমাদের সাথে যুক্ত হতে পারেন বা ওয়েব অ্যাপ্লিকেশন সিকিউরিটি ওয়ার্কিং গ্রুপের সাথে আলোচনায় অংশগ্রহণ করতে পারেন।

DBSC বাস্তবায়নের মাধ্যমে আমরা সম্মিলিতভাবে সেশন হাইজ্যাকিং ঝুঁকি কমাতে পারি এবং ব্যবহারকারীদের জন্য প্রমাণীকরণ নিরাপত্তা বাড়াতে পারি। আজই শুরু করুন এবং ওয়েব নিরাপত্তার ভবিষ্যৎ নির্ধারণ করতে সাহায্য করুন!

José Luis Zapata

ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল (DBSC) হল একটি নতুন ওয়েব ক্ষমতা যা ব্যবহারকারীর সেশনগুলিকে কুকি চুরি এবং সেশন হাইজ্যাকিং থেকে রক্ষা করার জন্য ডিজাইন করা হয়েছে৷ এই বৈশিষ্ট্যটি এখন Chrome 135-এ অরিজিন ট্রায়াল হিসাবে পরীক্ষার জন্য উপলব্ধ।

পটভূমি

কুকিজ আধুনিক ওয়েব প্রমাণীকরণে একটি গুরুত্বপূর্ণ ভূমিকা পালন করে, ব্যবহারকারীদের ব্রাউজিং সেশন জুড়ে লগ ইন থাকতে দেয়। যাইহোক, আক্রমণকারীরা মাল্টি-ফ্যাক্টর প্রমাণীকরণ এবং অন্যান্য লগইন নিরাপত্তা ব্যবস্থাকে বাইপাস করে সেশন হাইজ্যাক করতে চুরি হওয়া প্রমাণীকরণ কুকিগুলিকে ক্রমবর্ধমানভাবে ব্যবহার করে।

ম্যালওয়্যার অপারেটররা প্রায়শই আপোসকৃত ডিভাইস থেকে সেশন কুকিজ বের করে দেয়, ব্যবহারকারীর অ্যাকাউন্টে অননুমোদিত অ্যাক্সেস সক্ষম করে। যেহেতু কুকিগুলি বহনকারী টোকেন, তাই তারা দখলের প্রমাণের প্রয়োজন ছাড়াই অ্যাক্সেস মঞ্জুর করে—এগুলিকে আক্রমণকারীদের জন্য একটি লাভজনক লক্ষ্য করে তোলে৷

ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল (DBSC) একটি ডিভাইসের সাথে আবদ্ধ একটি প্রমাণীকৃত সেশন তৈরি করে কুকি চুরিকে ব্যাহত করার লক্ষ্য রাখে। এই পদ্ধতিটি অন্য ডিভাইস থেকে এক্সফিল্ট্রেটেড কুকিজ অ্যাকাউন্ট অ্যাক্সেস করার সুযোগকে কমিয়ে দেয়।

এটা কিভাবে কাজ করে

DBSC একটি নতুন API প্রবর্তন করেছে যা সার্ভারগুলিকে একটি ডিভাইসের সাথে আবদ্ধ একটি প্রমাণীকৃত সেশন তৈরি করতে দেয়। যখন একটি সেশন শুরু করা হয়, ব্রাউজার একটি পাবলিক-প্রাইভেট কী জোড়া তৈরি করে, প্রাইভেট কী সংরক্ষণ করে নিরাপদে হার্ডওয়্যার-ব্যাকড স্টোরেজ যেমন একটি বিশ্বস্ত প্ল্যাটফর্ম মডিউল (TPM) ব্যবহার করে।

ব্রাউজার তারপর একটি নিয়মিত সেশন কুকি ইস্যু করে। সেশনের জীবদ্দশায়, ব্রাউজারটি পর্যায়ক্রমে ব্যক্তিগত কী-এর অধিকার প্রমাণ করে এবং সেশন কুকি রিফ্রেশ করে। কুকির জীবনকাল যথেষ্ট সংক্ষিপ্ত করা যেতে পারে যাতে কুকি চুরি করা আক্রমণকারীদের জন্য লাভজনক হবে না।

মূল উপাদান

• অধিবেশন নিবন্ধন :

  • যখন একজন ব্যবহারকারী লগ ইন করে, সার্ভার Sec-Session-Registration HTTP হেডার ব্যবহার করে একটি ডিভাইস-বাউন্ড সেশনের অনুরোধ করে।
  • ব্রাউজার একটি নতুন কী জোড়া তৈরি করে, ব্যক্তিগত কী নিরাপদে সংরক্ষণ করে।
  • একটি স্বল্পস্থায়ী প্রমাণীকরণ কুকিও এই কী জোড়ার সাথে প্রতিষ্ঠিত এবং আবদ্ধ।
  • সার্ভারটি সেশনটিকে সংশ্লিষ্ট পাবলিক কী-এর সাথে সংযুক্ত করে, নিশ্চিত করে যে সেশনটি শুধুমাত্র আসল ডিভাইসে ব্যবহার করা যেতে পারে।

• সেশন রিফ্রেশ এবং দখলের প্রমাণ :

  • স্বল্পকালীন কুকির মেয়াদ শেষ হলে, Chrome একটি সেশন রিফ্রেশ ট্রিগার করে।
  • ব্রাউজার একটি সার্ভার-সংজ্ঞায়িত রিফ্রেশ এন্ডপয়েন্টে একটি অনুরোধ পাঠায় (সেশন নিবন্ধনের সময় প্রদান করা হয়), এবং, যদি সার্ভার একটি প্রদান করে, Sec-Session-Challenge হেডার ব্যবহার করে একটি স্বাক্ষরিত চ্যালেঞ্জ।
  • সার্ভার সেশনের ব্যক্তিগত কী দিয়ে স্বাক্ষরিত প্রতিক্রিয়া যাচাই করে দখলের প্রমাণ যাচাই করে।
  • বৈধ হলে, সার্ভার একটি নতুন স্বল্প-কালীন কুকি জারি করে, সেশনটি চালিয়ে যাওয়ার অনুমতি দেয়।

এই পদ্ধতির একটি সুবিধা হল যে ক্রোম অনুরোধগুলিকে পিছিয়ে দেয় যা অন্যথায় রিফ্রেশ করা স্বল্পকালীন কুকি অনুপস্থিত হবে। এই আচরণটি সেশন-বাউন্ড কুকিগুলিকে পুরো সেশন জুড়ে ধারাবাহিকভাবে উপলভ্য রাখে এবং বিকাশকারীদের সেগুলির উপর নির্ভর করার অনুমতি দেয় যেখানে কুকিগুলি স্বয়ংক্রিয় পুনর্নবীকরণ ছাড়াই মেয়াদ শেষ বা অদৃশ্য হয়ে যেতে পারে।

উদাহরণ বাস্তবায়ন

একটি সার্ভার এই মত একটি ডিভাইস-বাউন্ড সেশন অনুরোধ করতে পারে:

HTTP/1.1 200 OK
Sec-Session-Registration: (ES256);path="/refresh";challenge="12345"

যখন সেশন সক্রিয় থাকে, সার্ভার এটি একটি চ্যালেঞ্জ-প্রতিক্রিয়া বিনিময়ের মাধ্যমে যাচাই করতে পারে:

HTTP/1.1 401 Unauthorized
Sec-Session-Challenge: "verify-session"

ব্রাউজার এর সাথে সাড়া দেয়:

POST /refresh
Sec-Session-Response: "signed-proof"

সুবিধা

• কুকি চুরি প্রশমিত করে : সেশন কুকিজ চুরি হলেও অন্য ডিভাইস থেকে ব্যবহার করা যাবে না।
• বড় ইউএক্স পরিবর্তন ছাড়াই নিরাপত্তা বাড়ায় : অতিরিক্ত ব্যবহারকারীর ইন্টারঅ্যাকশনের প্রয়োজন ছাড়াই ব্যাকগ্রাউন্ডে স্বচ্ছভাবে কাজ করে।
• দীর্ঘস্থায়ী সেশন কুকিজের উপর নির্ভরতা হ্রাস করে : যতক্ষণ সেশনটি আসল ডিভাইসে বৈধ থাকে ততক্ষণ স্বল্পকালীন কুকিগুলি স্বয়ংক্রিয়ভাবে রিফ্রেশ হয়৷
• স্ট্যান্ডার্ড ক্রিপ্টোগ্রাফিক মেকানিজম সমর্থন করে : যখন উপলব্ধ থাকে তখন TPM-ব্যাকড সুরক্ষিত সঞ্চয়স্থানের সুবিধা দেয়, যা বহিষ্কারের বিরুদ্ধে শক্তিশালী সুরক্ষা প্রদান করে।

গোপনীয়তা এবং নিরাপত্তা বিবেচনা

DBSC ব্যবহারকারীর গোপনীয়তা রক্ষা করার সময় নিরাপত্তা বাড়ানোর জন্য ডিজাইন করা হয়েছে:

• কোন অতিরিক্ত ট্র্যাকিং ভেক্টর নেই : প্রতিটি সেশন একটি অনন্য কী জোড়ার সাথে যুক্ত, ক্রস-সেশন ট্র্যাকিং প্রতিরোধ করে।
• দীর্ঘমেয়াদী ডিভাইস ফিঙ্গারপ্রিন্টিং নেই : ব্যবহারকারীর দ্বারা স্পষ্টভাবে অনুমতি না দেওয়া পর্যন্ত সার্ভার একই ডিভাইসে বিভিন্ন সেশনের সাথে সম্পর্ক স্থাপন করতে পারে না।
• ব্যবহারকারীদের দ্বারা ক্লিয়ারযোগ্য : ব্যবহারকারী সাইট ডেটা সাফ করলে সেশন এবং কীগুলি মুছে ফেলা হয়৷
• কুকি নীতির সাথে সারিবদ্ধ : DBSC কুকির মতো একই সাইট-ভিত্তিক স্কোপিং অনুসরণ করে, এটি নিশ্চিত করে যে এটি ক্রস-অরিজিন ডেটা লিক প্রবর্তন করে না।

চেষ্টা করে দেখুন

ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল অরিজিন ট্রায়াল Chrome 135 থেকে পাওয়া যায়।

স্থানীয় পরীক্ষার জন্য

স্থানীয়ভাবে ডিবিএসসি পরীক্ষা করতে:

• chrome://flags#device-bound-session-credentials এ যান এবং বৈশিষ্ট্যটি সক্ষম করুন।

পাবলিক পরীক্ষার জন্য

একটি সর্বজনীন পরিবেশে উৎপত্তি ট্রায়াল সহ DBSC পরীক্ষা করতে:

1. Chrome অরিজিন ট্রায়াল পৃষ্ঠাতে যান এবং সাইন আপ করুন৷

2. আপনার সাইটের HTTP হেডারে প্রদত্ত টোকেন যোগ করুন:

   Origin-Trial: <your-trial-token>
   

সম্পদ

• ডিভাইস আবদ্ধ সেশন শংসাপত্রের স্পেসিফিকেশন
• DBSC এর জন্য GitHub সংগ্রহস্থল
• ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল (DBSC) ইন্টিগ্রেশন গাইড

জড়িত হন এবং ওয়েব নিরাপত্তার ভবিষ্যত গঠন করুন

ওয়েব প্রমাণীকরণ আরও সুরক্ষিত করতে আমাদের সাথে যোগ দিন! আমরা ওয়েব ডেভেলপারদেরকে DBSC পরীক্ষা করতে, তাদের অ্যাপ্লিকেশনে একীভূত করতে এবং প্রতিক্রিয়া শেয়ার করতে উৎসাহিত করি। আপনি GitHub- এ আমাদের সাথে যুক্ত হতে পারেন বা ওয়েব অ্যাপ্লিকেশন সিকিউরিটি ওয়ার্কিং গ্রুপের সাথে আলোচনায় অংশগ্রহণ করতে পারেন।

DBSC বাস্তবায়নের মাধ্যমে আমরা সম্মিলিতভাবে সেশন হাইজ্যাকিং ঝুঁকি কমাতে পারি এবং ব্যবহারকারীদের জন্য প্রমাণীকরণ নিরাপত্তা বাড়াতে পারি। আজই শুরু করুন এবং ওয়েব নিরাপত্তার ভবিষ্যৎ নির্ধারণ করতে সাহায্য করুন!

José Luis Zapata

ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল (DBSC) হল একটি নতুন ওয়েব ক্ষমতা যা ব্যবহারকারীর সেশনগুলিকে কুকি চুরি এবং সেশন হাইজ্যাকিং থেকে রক্ষা করার জন্য ডিজাইন করা হয়েছে৷ এই বৈশিষ্ট্যটি এখন Chrome 135-এ অরিজিন ট্রায়াল হিসাবে পরীক্ষার জন্য উপলব্ধ।

পটভূমি

কুকিজ আধুনিক ওয়েব প্রমাণীকরণে একটি গুরুত্বপূর্ণ ভূমিকা পালন করে, ব্যবহারকারীদের ব্রাউজিং সেশন জুড়ে লগ ইন থাকতে দেয়। যাইহোক, আক্রমণকারীরা মাল্টি-ফ্যাক্টর প্রমাণীকরণ এবং অন্যান্য লগইন নিরাপত্তা ব্যবস্থাকে বাইপাস করে সেশন হাইজ্যাক করতে চুরি হওয়া প্রমাণীকরণ কুকিগুলিকে ক্রমবর্ধমানভাবে ব্যবহার করে।

ম্যালওয়্যার অপারেটররা প্রায়শই আপোসকৃত ডিভাইস থেকে সেশন কুকিজ বের করে দেয়, ব্যবহারকারীর অ্যাকাউন্টে অননুমোদিত অ্যাক্সেস সক্ষম করে। যেহেতু কুকিগুলি বহনকারী টোকেন, তাই তারা দখলের প্রমাণের প্রয়োজন ছাড়াই অ্যাক্সেস মঞ্জুর করে—এগুলিকে আক্রমণকারীদের জন্য একটি লাভজনক লক্ষ্য করে তোলে৷

ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল (DBSC) একটি ডিভাইসের সাথে আবদ্ধ একটি প্রমাণীকৃত সেশন তৈরি করে কুকি চুরিকে ব্যাহত করার লক্ষ্য রাখে। এই পদ্ধতিটি অন্য ডিভাইস থেকে এক্সফিল্ট্রেটেড কুকিজ অ্যাকাউন্ট অ্যাক্সেস করার সুযোগকে কমিয়ে দেয়।

এটা কিভাবে কাজ করে

DBSC একটি নতুন API প্রবর্তন করেছে যা সার্ভারগুলিকে একটি ডিভাইসের সাথে আবদ্ধ একটি প্রমাণীকৃত সেশন তৈরি করতে দেয়। যখন একটি সেশন শুরু করা হয়, ব্রাউজার একটি পাবলিক-প্রাইভেট কী জোড়া তৈরি করে, প্রাইভেট কী সংরক্ষণ করে নিরাপদে হার্ডওয়্যার-ব্যাকড স্টোরেজ যেমন একটি বিশ্বস্ত প্ল্যাটফর্ম মডিউল (TPM) ব্যবহার করে।

ব্রাউজার তারপর একটি নিয়মিত সেশন কুকি ইস্যু করে। সেশনের জীবদ্দশায়, ব্রাউজারটি পর্যায়ক্রমে ব্যক্তিগত কী-এর অধিকার প্রমাণ করে এবং সেশন কুকি রিফ্রেশ করে। কুকির জীবনকাল যথেষ্ট সংক্ষিপ্ত করা যেতে পারে যাতে কুকি চুরি করা আক্রমণকারীদের জন্য লাভজনক হবে না।

মূল উপাদান

• অধিবেশন নিবন্ধন :

  • যখন একজন ব্যবহারকারী লগ ইন করে, সার্ভার Sec-Session-Registration HTTP হেডার ব্যবহার করে একটি ডিভাইস-বাউন্ড সেশনের অনুরোধ করে।
  • ব্রাউজার একটি নতুন কী জোড়া তৈরি করে, ব্যক্তিগত কী নিরাপদে সংরক্ষণ করে।
  • একটি স্বল্পস্থায়ী প্রমাণীকরণ কুকিও এই কী জোড়ার সাথে প্রতিষ্ঠিত এবং আবদ্ধ।
  • সার্ভারটি সেশনটিকে সংশ্লিষ্ট পাবলিক কী-এর সাথে সংযুক্ত করে, নিশ্চিত করে যে সেশনটি শুধুমাত্র আসল ডিভাইসে ব্যবহার করা যেতে পারে।

• সেশন রিফ্রেশ এবং দখলের প্রমাণ :

  • স্বল্পকালীন কুকির মেয়াদ শেষ হলে, Chrome একটি সেশন রিফ্রেশ ট্রিগার করে।
  • ব্রাউজার একটি সার্ভার-সংজ্ঞায়িত রিফ্রেশ এন্ডপয়েন্টে একটি অনুরোধ পাঠায় (সেশন নিবন্ধনের সময় প্রদান করা হয়), এবং, যদি সার্ভার একটি প্রদান করে, Sec-Session-Challenge হেডার ব্যবহার করে একটি স্বাক্ষরিত চ্যালেঞ্জ।
  • সার্ভার সেশনের ব্যক্তিগত কী দিয়ে স্বাক্ষরিত প্রতিক্রিয়া যাচাই করে দখলের প্রমাণ যাচাই করে।
  • বৈধ হলে, সার্ভার একটি নতুন স্বল্প-কালীন কুকি জারি করে, সেশনটি চালিয়ে যাওয়ার অনুমতি দেয়।

এই পদ্ধতির একটি সুবিধা হল যে ক্রোম অনুরোধগুলিকে পিছিয়ে দেয় যা অন্যথায় রিফ্রেশ করা স্বল্পকালীন কুকি অনুপস্থিত হবে। এই আচরণটি সেশন-বাউন্ড কুকিগুলিকে পুরো সেশন জুড়ে ধারাবাহিকভাবে উপলভ্য রাখে এবং বিকাশকারীদের সেগুলির উপর নির্ভর করার অনুমতি দেয় যেখানে কুকিগুলি স্বয়ংক্রিয় পুনর্নবীকরণ ছাড়াই মেয়াদ শেষ বা অদৃশ্য হয়ে যেতে পারে।

উদাহরণ বাস্তবায়ন

একটি সার্ভার এই মত একটি ডিভাইস-বাউন্ড সেশন অনুরোধ করতে পারে:

HTTP/1.1 200 OK
Sec-Session-Registration: (ES256);path="/refresh";challenge="12345"

যখন সেশন সক্রিয় থাকে, সার্ভার এটি একটি চ্যালেঞ্জ-প্রতিক্রিয়া বিনিময়ের মাধ্যমে যাচাই করতে পারে:

HTTP/1.1 401 Unauthorized
Sec-Session-Challenge: "verify-session"

ব্রাউজার এর সাথে সাড়া দেয়:

POST /refresh
Sec-Session-Response: "signed-proof"

সুবিধা

• কুকি চুরি প্রশমিত করে : সেশন কুকিজ চুরি হলেও অন্য ডিভাইস থেকে ব্যবহার করা যাবে না।
• বড় ইউএক্স পরিবর্তন ছাড়াই নিরাপত্তা বাড়ায় : অতিরিক্ত ব্যবহারকারীর ইন্টারঅ্যাকশনের প্রয়োজন ছাড়াই ব্যাকগ্রাউন্ডে স্বচ্ছভাবে কাজ করে।
• দীর্ঘস্থায়ী সেশন কুকিজের উপর নির্ভরতা হ্রাস করে : যতক্ষণ সেশনটি আসল ডিভাইসে বৈধ থাকে ততক্ষণ স্বল্পকালীন কুকিগুলি স্বয়ংক্রিয়ভাবে রিফ্রেশ হয়৷
• স্ট্যান্ডার্ড ক্রিপ্টোগ্রাফিক মেকানিজম সমর্থন করে : যখন উপলব্ধ থাকে তখন TPM-ব্যাকড সুরক্ষিত সঞ্চয়স্থানের সুবিধা দেয়, যা বহিষ্কারের বিরুদ্ধে শক্তিশালী সুরক্ষা প্রদান করে।

গোপনীয়তা এবং নিরাপত্তা বিবেচনা

DBSC ব্যবহারকারীর গোপনীয়তা রক্ষা করার সময় নিরাপত্তা বাড়ানোর জন্য ডিজাইন করা হয়েছে:

• কোন অতিরিক্ত ট্র্যাকিং ভেক্টর নেই : প্রতিটি সেশন একটি অনন্য কী জোড়ার সাথে যুক্ত, ক্রস-সেশন ট্র্যাকিং প্রতিরোধ করে।
• দীর্ঘমেয়াদী ডিভাইস ফিঙ্গারপ্রিন্টিং নেই : ব্যবহারকারীর দ্বারা স্পষ্টভাবে অনুমতি না দেওয়া পর্যন্ত সার্ভার একই ডিভাইসে বিভিন্ন সেশনের সাথে সম্পর্ক স্থাপন করতে পারে না।
• ব্যবহারকারীদের দ্বারা ক্লিয়ারযোগ্য : ব্যবহারকারী সাইট ডেটা সাফ করলে সেশন এবং কীগুলি মুছে ফেলা হয়৷
• কুকি নীতির সাথে সারিবদ্ধ : DBSC কুকির মতো একই সাইট-ভিত্তিক স্কোপিং অনুসরণ করে, এটি নিশ্চিত করে যে এটি ক্রস-অরিজিন ডেটা লিক প্রবর্তন করে না।

চেষ্টা করে দেখুন

ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল অরিজিন ট্রায়াল Chrome 135 থেকে পাওয়া যায়।

স্থানীয় পরীক্ষার জন্য

স্থানীয়ভাবে ডিবিএসসি পরীক্ষা করতে:

• chrome://flags#device-bound-session-credentials এ যান এবং বৈশিষ্ট্যটি সক্ষম করুন।

পাবলিক পরীক্ষার জন্য

একটি সর্বজনীন পরিবেশে উৎপত্তি ট্রায়াল সহ DBSC পরীক্ষা করতে:

1. Chrome অরিজিন ট্রায়াল পৃষ্ঠাতে যান এবং সাইন আপ করুন৷

2. আপনার সাইটের HTTP হেডারে প্রদত্ত টোকেন যোগ করুন:

   Origin-Trial: <your-trial-token>
   

সম্পদ

• ডিভাইস আবদ্ধ সেশন শংসাপত্রের স্পেসিফিকেশন
• DBSC এর জন্য GitHub সংগ্রহস্থল
• ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল (DBSC) ইন্টিগ্রেশন গাইড

জড়িত হন এবং ওয়েব নিরাপত্তার ভবিষ্যত গঠন করুন

ওয়েব প্রমাণীকরণ আরও সুরক্ষিত করতে আমাদের সাথে যোগ দিন! আমরা ওয়েব ডেভেলপারদেরকে DBSC পরীক্ষা করতে, তাদের অ্যাপ্লিকেশনে একীভূত করতে এবং প্রতিক্রিয়া শেয়ার করতে উৎসাহিত করি। আপনি GitHub- এ আমাদের সাথে যুক্ত হতে পারেন বা ওয়েব অ্যাপ্লিকেশন সিকিউরিটি ওয়ার্কিং গ্রুপের সাথে আলোচনায় অংশগ্রহণ করতে পারেন।

DBSC বাস্তবায়নের মাধ্যমে আমরা সম্মিলিতভাবে সেশন হাইজ্যাকিং ঝুঁকি কমাতে পারি এবং ব্যবহারকারীদের জন্য প্রমাণীকরণ নিরাপত্তা বাড়াতে পারি। আজই শুরু করুন এবং ওয়েব নিরাপত্তার ভবিষ্যৎ নির্ধারণ করতে সাহায্য করুন!