ما مفتخریم اعلام کنیم که اعتبارنامههای جلسه متصل به دستگاه (DBSC) اکنون در کروم ۱۴۵ در ویندوز در دسترس هستند و روشی جدید برای محافظت از کاربران در برابر سرقت کوکی ارائه میدهند.
کوکیهای جلسه مدتهاست که هدف مهاجمان بودهاند. سرقت کوکیها به مهاجم اجازه میدهد تا خود را به جای یک کاربر جا بزند و به حسابهای او دسترسی پیدا کند. DBSC با اتصال جلسات کاربر به دستگاهی که در آن هستند، به ایمنسازی آنها کمک میکند. این سرویس با ایجاد یک جفت کلید عمومی/خصوصی در دستگاه، جلسات احراز هویت را به صورت رمزنگاری به دستگاه متصل میکند. کروم در ویندوز با استفاده از ماژول پلتفرم مورد اعتماد (TPM) از این کلیدها در سختافزار محافظت میکند.
با DBSC، میتوانید با درخواست مدرکی مبنی بر اینکه مرورگر هنوز کلید خصوصی را در اختیار دارد، تأیید کنید که کاربر در طول جلسه خود در همان دستگاه است. این امر استفاده از کوکیهای دزدیده شده را برای مهاجمان به طور قابل توجهی دشوارتر میکند، زیرا آنها معمولاً به کلید خصوصی روی دستگاه کاربر دسترسی نخواهند داشت.
نحوه کار DBSC
DBSC برای یکپارچهسازی ساده طراحی شده است. وقتی کاربری وارد سیستم میشود، میتوانید DBSC را با ارائه هدر پاسخ HTTP Secure-Session-Registration آغاز کنید. این هدر به مرورگر میگوید که یک نقطه پایانی ثبت نام را در سایت شما با کلید عمومی برای جلسه فراخوانی کند. سپس نقطه پایانی ثبت نام شما باید این کلید عمومی را ذخیره کرده و با پیکربندی جلسه پاسخ دهد تا جلسه مقید ایجاد شود.
پس از اتصال جلسه، وقتی کوکی متصل شده منقضی میشود، کروم با یک نقطه پایانی تازهسازی که شما ارائه میدهید تماس میگیرد. در این نقطه پایانی، میتوانید مرورگر را به چالش بکشید تا ثابت کند که هنوز کلید خصوصی مرتبط با جلسه را در اختیار دارد. اگر این چالش موفقیتآمیز باشد، میتوانید یک کوکی جدید برای تأیید اعتبار سایر درخواستها صادر کنید. اگر این چالش با شکست مواجه شود، به عنوان مثال اگر مهاجمی سعی در استفاده از یک کوکی دزدیده شده در دستگاه دیگری بدون دسترسی به TPM داشته باشد، میتوانید درخواست را رد کنید.
این پروتکل نیازی به هیچ تغییری در جریانهای احراز هویت شما خارج از این دو نقطه پایانی ندارد.
برای کسب اطلاعات بیشتر در مورد پیادهسازی DBSC، به راهنمای توسعهدهنده Device Bound Session Credentials مراجعه کنید.