हमें यह बताते हुए खुशी हो रही है कि डिवाइस बाउंड सेशन क्रेडेंशियल (डीबीएससी) अब Windows पर Chrome 145 में उपलब्ध हैं. इससे उपयोगकर्ताओं को कुकी चोरी से बचाने का एक नया तरीका मिलता है.
हमलावर, लंबे समय से सेशन कुकी को निशाना बना रहे हैं. कुकी चुराने से, हमलावर किसी उपयोगकर्ता की पहचान चुराकर उसके खातों को ऐक्सेस कर सकता है. डीबीएससी, उपयोगकर्ता के सेशन को सुरक्षित रखने में मदद करता है. इसके लिए, वह सेशन को उस डिवाइस से जोड़ता है जिस पर उपयोगकर्ता मौजूद है. यह डिवाइस पर सार्वजनिक/निजी कुंजी का जोड़ा बनाकर, पुष्टि करने वाले सेशन को क्रिप्टोग्राफ़िक तरीके से डिवाइस से जोड़ता है. Windows पर Chrome, इन कुंजियों को हार्डवेयर में सुरक्षित रखता है. इसके लिए, वह Trusted Platform Module (टीपीएम) का इस्तेमाल करता है.
डीबीएससी की मदद से, यह पुष्टि की जा सकती है कि उपयोगकर्ता पूरे सेशन के दौरान एक ही डिवाइस पर है. इसके लिए, आपको यह सबूत देना होगा कि ब्राउज़र के पास अब भी निजी पासकोड है. इससे हमलावरों के लिए, चुराई गई कुकी का इस्तेमाल करना काफ़ी मुश्किल हो जाता है. इसकी वजह यह है कि आम तौर पर, उनके पास उपयोगकर्ता के डिवाइस पर मौजूद निजी कुंजी का ऐक्सेस नहीं होता.
डीबीएससी कैसे काम करता है
डीबीएससी को आसानी से इंटिग्रेट करने के लिए डिज़ाइन किया गया है. जब कोई उपयोगकर्ता लॉग इन करता है, तब Secure-Session-Registration एचटीटीपी रिस्पॉन्स हेडर दिखाकर, डीबीएससी शुरू किया जा सकता है.
यह हेडर, ब्राउज़र को आपकी साइट पर रजिस्ट्रेशन एंडपॉइंट को कॉल करने के लिए कहता है. इसमें सेशन के लिए सार्वजनिक पासकोड होता है. इसके बाद, आपके रजिस्ट्रेशन एंडपॉइंट को इस सार्वजनिक कुंजी को सेव करना चाहिए. साथ ही, बाउंड सेशन को सेट अप करने के लिए, सेशन कॉन्फ़िगरेशन के साथ जवाब देना चाहिए.
सेशन के बाइंड हो जाने के बाद, जब बाइंड की गई कुकी की समयसीमा खत्म होने वाली होती है, तो Chrome उस रीफ़्रेश एंडपॉइंट से संपर्क करेगा जिसे आपने उपलब्ध कराया है. इस एंडपॉइंट पर, ब्राउज़र को चुनौती दी जा सकती है. इससे ब्राउज़र यह साबित कर पाएगा कि उसके पास अब भी सेशन से जुड़ी निजी कुंजी है. अगर चुनौती पूरी हो जाती है, तो अन्य अनुरोधों की पुष्टि करने के लिए, नई कुकी जारी की जा सकती है. अगर ऐसा नहीं होता है, तो अनुरोध को अस्वीकार किया जा सकता है. उदाहरण के लिए, अगर कोई हमलावर टीपीएम के ऐक्सेस के बिना, किसी दूसरे डिवाइस पर चुराई गई कुकी का इस्तेमाल करने की कोशिश कर रहा है.
इस प्रोटोकॉल के लिए, इन दो एंडपॉइंट के अलावा, पुष्टि करने के फ़्लो में कोई बदलाव करने की ज़रूरत नहीं है.
डीबीएससी लागू करने के बारे में ज़्यादा जानने के लिए, डिवाइस बाउंड सेशन क्रेडेंशियल डेवलपर गाइड देखें.