Nos complace anunciar que las credenciales de sesión vinculadas al dispositivo (DBSC) ya están disponibles en Chrome 145 para Windows, lo que ofrece una nueva forma de proteger a los usuarios del robo de cookies.
Las cookies de sesión siempre han sido un objetivo para los atacantes. El robo de cookies permite que un atacante se haga pasar por un usuario y obtenga acceso a sus cuentas. Las DBSC ayudan a proteger las sesiones de los usuarios vinculándolas al dispositivo en el que se encuentran. Vincula de forma criptográfica las sesiones de autenticación a un dispositivo creando un par de claves públicas/privadas en el dispositivo. Chrome en Windows protege estas claves en el hardware con el Módulo de plataforma segura (TPM).
Con DBSC, puedes verificar que un usuario se encuentre en el mismo dispositivo durante toda su sesión solicitando una prueba de que el navegador aún posee la clave privada. Esto dificulta significativamente que los atacantes usen cookies robadas, ya que, por lo general, no tendrán acceso a la clave privada en el dispositivo del usuario.
Cómo funciona DBSC
El DBSC está diseñado para una integración sencilla. Cuando un usuario accede, puedes iniciar el DBSC publicando el encabezado de respuesta HTTP Secure-Session-Registration.
Este encabezado le indica al navegador que llame a un extremo de registro en tu sitio con la clave pública de la sesión. Luego, tu extremo de registro debe almacenar esta clave pública y responder con la configuración de la sesión para establecer la sesión vinculada.
Una vez que se vincula la sesión, cuando se establece que una cookie vinculada vence, Chrome se comunicará con un extremo de actualización que proporciones. En este extremo, puedes desafiar al navegador para que demuestre que aún posee la clave privada asociada con la sesión. Si el desafío se realiza correctamente, puedes emitir una cookie nueva para autenticar otras solicitudes. Si falla, por ejemplo, si un atacante intenta usar una cookie robada en un dispositivo diferente sin acceso al TPM, puedes rechazar la solicitud.
Este protocolo no requiere cambios en tus flujos de autenticación fuera de estos dos extremos.
Para obtener más información sobre la implementación de DBSC, consulta la guía para desarrolladores de Credenciales de sesión vinculadas al dispositivo.