يسرّنا الإعلان عن أنّ ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC) أصبحت متاحة الآن في الإصدار 145 من Chrome على أجهزة Windows، ما يوفّر طريقة جديدة لحماية المستخدمين من سرقة ملفات تعريف الارتباط.
لطالما كانت ملفات تعريف الارتباط للجلسة هدفًا للمهاجمين. تتيح سرقة ملفات تعريف الارتباط للمهاجم انتحال هوية المستخدم والوصول إلى حساباته. تساعد ميزة "بيانات اعتماد الجلسة المرتبطة بالجهاز" في تأمين جلسات المستخدمين من خلال ربطها بالجهاز الذي يتم تشغيلها عليه. تربط هذه الميزة جلسات المصادقة بالجهاز بشكل مشفّر من خلال إنشاء زوج من المفاتيح العامة والخاصة على الجهاز. يحمي Chrome على أجهزة Windows هذه المفاتيح في الأجهزة باستخدام "وحدة النظام الأساسي الموثوق به" (TPM).
باستخدام DBSC، يمكنك التأكّد من أنّ المستخدم يستخدِم الجهاز نفسه طوال جلسته من خلال طلب إثبات على أنّ المتصفّح لا يزال يمتلك المفتاح الخاص. ويصعّب ذلك بشكل كبير على المهاجمين استخدام ملفات تعريف الارتباط المسروقة، لأنّه لن يكون بإمكانهم عادةً الوصول إلى المفتاح الخاص على جهاز المستخدم.
طريقة عمل بيانات اعتماد الجلسة المرتبطة بالجهاز
تم تصميم DBSC ليكون سهل الدمج. عندما يسجّل المستخدم الدخول، يمكنك بدء عملية DBSC من خلال عرض عنوان استجابة HTTP Secure-Session-Registration.
يطلب هذا العنوان من المتصفّح استدعاء نقطة نهاية التسجيل على موقعك الإلكتروني باستخدام المفتاح العام للجلسة. يجب أن يخزّن نقطة نهاية التسجيل بعد ذلك هذا المفتاح العام وأن تردّ بإعدادات الجلسة لإنشاء الجلسة المرتبطة.
بعد ربط الجلسة، عندما يتم ضبط ملف تعريف ارتباط مرتبط على انتهاء الصلاحية، سيتواصل Chrome مع نقطة نهاية إعادة التحميل التي تقدّمها. يمكنك من خلال نقطة النهاية هذه أن تطلب من المتصفّح تقديم دليل على أنّه لا يزال يملك المفتاح الخاص المرتبط بالجلسة. في حال نجاح عملية التحقّق، يمكنك إصدار ملف تعريف ارتباط جديد للمصادقة على الطلبات الأخرى. إذا تعذّر ذلك، مثلاً إذا كان أحد المهاجمين يحاول استخدام ملف تعريف ارتباط مسروق على جهاز آخر بدون إذن الوصول إلى وحدة TPM، يمكنك رفض الطلب.
لا يتطلّب هذا البروتوكول إجراء أي تغييرات على عمليات المصادقة خارج نقطتَي النهاية هاتين.
لمزيد من المعلومات حول تنفيذ DBSC، يُرجى الاطّلاع على دليل المطوّر الخاص ببيانات اعتماد الجلسة المرتبطة بالجهاز.