আমরা আনন্দের সাথে ঘোষণা করছি যে ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল (DBSC) এখন Windows-এর Chrome 145-এ উপলব্ধ, যা ব্যবহারকারীদের কুকি চুরি থেকে রক্ষা করার একটি নতুন উপায় প্রদান করে।
সেশন কুকিজ দীর্ঘদিন ধরে আক্রমণকারীদের লক্ষ্যবস্তুতে পরিণত হয়েছে। কুকিজ চুরি করার মাধ্যমে আক্রমণকারীরা ব্যবহারকারীর ছদ্মবেশ ধারণ করতে পারে এবং তাদের অ্যাকাউন্টে অ্যাক্সেস পেতে পারে। DBSC ব্যবহারকারীর সেশনগুলিকে তারা যে ডিভাইসে আছে তার সাথে আবদ্ধ করে সুরক্ষিত করতে সাহায্য করে। এটি ডিভাইসে একটি পাবলিক/প্রাইভেট কী জোড়া তৈরি করে ক্রিপ্টোগ্রাফিকভাবে প্রমাণীকরণ সেশনগুলিকে একটি ডিভাইসের সাথে আবদ্ধ করে। উইন্ডোজের Chrome বিশ্বস্ত প্ল্যাটফর্ম মডিউল (TPM) ব্যবহার করে হার্ডওয়্যারে এই কীগুলিকে সুরক্ষিত করে।
DBSC এর মাধ্যমে, আপনি যাচাই করতে পারেন যে একজন ব্যবহারকারী তাদের সেশন জুড়ে একই ডিভাইস ব্যবহার করছেন কিনা, ব্রাউজারে এখনও প্রাইভেট কী আছে কিনা তার প্রমাণ চেয়ে। এটি আক্রমণকারীদের জন্য চুরি করা কুকি ব্যবহার করা উল্লেখযোগ্যভাবে কঠিন করে তোলে, কারণ তারা সাধারণত ব্যবহারকারীর ডিভাইসে প্রাইভেট কী অ্যাক্সেস করতে পারে না।
ডিবিএসসি কীভাবে কাজ করে
DBSC সহজ ইন্টিগ্রেশনের জন্য ডিজাইন করা হয়েছে। যখন একজন ব্যবহারকারী লগ ইন করেন, তখন আপনি Secure-Session-Registration HTTP রেসপন্স হেডার পরিবেশন করে DBSC শুরু করতে পারেন। এই হেডারটি ব্রাউজারকে সেশনের জন্য পাবলিক কী ব্যবহার করে আপনার সাইটে একটি রেজিস্ট্রেশন এন্ডপয়েন্ট কল করতে বলে। আপনার রেজিস্ট্রেশন এন্ডপয়েন্টটি তখন এই পাবলিক কী সংরক্ষণ করবে এবং বাউন্ড সেশন স্থাপনের জন্য সেশন কনফিগারেশনের সাথে সাড়া দেবে।
একবার সেশনটি বাউন্ড হয়ে গেলে, যখন একটি বাউন্ড কুকির মেয়াদ শেষ হওয়ার জন্য সেট করা হয়, তখন Chrome আপনার দেওয়া একটি রিফ্রেশ এন্ডপয়েন্টের সাথে যোগাযোগ করবে। এই এন্ডপয়েন্টে, আপনি ব্রাউজারকে চ্যালেঞ্জ করতে পারেন যে সেশনের সাথে সম্পর্কিত ব্যক্তিগত কীটি এখনও তার কাছে আছে কিনা তা প্রমাণ করার জন্য। যদি চ্যালেঞ্জটি সফল হয়, তাহলে আপনি অন্যান্য অনুরোধগুলি প্রমাণীকরণের জন্য একটি নতুন কুকি ইস্যু করতে পারেন। যদি এটি ব্যর্থ হয়, উদাহরণস্বরূপ, যদি কোনও আক্রমণকারী TPM অ্যাক্সেস ছাড়াই অন্য কোনও ডিভাইসে চুরি করা কুকি ব্যবহার করার চেষ্টা করে, তাহলে আপনি অনুরোধটি অস্বীকার করতে পারেন।
এই প্রোটোকলের জন্য এই দুটি এন্ডপয়েন্টের বাইরে আপনার প্রমাণীকরণ প্রবাহে কোনও পরিবর্তনের প্রয়োজন নেই।
DBSC বাস্তবায়ন সম্পর্কে আরও জানতে, ডিভাইস বাউন্ড সেশন ক্রেডেনশিয়াল ডেভেলপার গাইড দেখুন।