Dengan senang hati kami mengumumkan bahwa Kredensial Sesi Terikat Perangkat (DBSC) kini tersedia di Chrome 145 di Windows, yang menawarkan cara baru untuk melindungi pengguna dari pencurian cookie.
Cookie sesi telah lama menjadi target bagi penyerang. Mencuri cookie memungkinkan penyerang meniru identitas pengguna dan mendapatkan akses ke akunnya. DBSC membantu mengamankan sesi pengguna dengan mengikatnya ke perangkat yang mereka gunakan. Fitur ini mengikat sesi autentikasi ke perangkat secara kriptografis dengan membuat pasangan kunci publik/pribadi di perangkat. Chrome di Windows melindungi kunci ini di hardware menggunakan Trusted Platform Module (TPM).
Dengan DBSC, Anda dapat memverifikasi bahwa pengguna berada di perangkat yang sama selama sesinya dengan meminta bukti bahwa browser masih memiliki kunci pribadi. Hal ini mempersulit penyerang untuk menggunakan cookie curian, karena mereka biasanya tidak memiliki akses ke kunci pribadi di perangkat pengguna.
Cara kerja DBSC
DBSC dirancang untuk integrasi yang mudah. Saat pengguna login, Anda dapat
memulai DBSC dengan menayangkan header respons HTTP Secure-Session-Registration.
Header ini memberi tahu browser untuk memanggil endpoint pendaftaran di situs Anda dengan
kunci publik untuk sesi tersebut. Endpoint pendaftaran Anda kemudian harus menyimpan
kunci publik ini dan merespons dengan konfigurasi sesi untuk membuat sesi
terikat.
Setelah sesi terikat, saat cookie terikat ditetapkan untuk berakhir, Chrome akan menghubungi endpoint refresh yang Anda berikan. Di endpoint ini, Anda dapat menantang browser untuk membuktikan bahwa browser masih memiliki kunci pribadi yang terkait dengan sesi. Jika verifikasi berhasil, Anda dapat mengeluarkan cookie baru untuk mengautentikasi permintaan lainnya. Jika gagal, misalnya jika penyerang mencoba menggunakan cookie curian di perangkat lain tanpa akses ke TPM, Anda dapat menolak permintaan.
Protokol ini tidak memerlukan perubahan pada alur autentikasi Anda di luar dua endpoint ini.
Untuk mempelajari lebih lanjut cara menerapkan DBSC, lihat panduan developer Kredensial Sesi yang Terikat Perangkat.