Siamo felici di annunciare che le credenziali di sessione associate al dispositivo sono ora disponibili in Chrome 145 su Windows, offrendo un nuovo modo per proteggere gli utenti dal furto di cookie.
I cookie di sessione sono da tempo un obiettivo per gli aggressori. Il furto di cookie consente a un malintenzionato di impersonare un utente e accedere ai suoi account. Le credenziali di sessione associate al dispositivo contribuiscono a proteggere le sessioni degli utenti associandole al dispositivo su cui si trovano. Associa in modo crittografico le sessioni di autenticazione a un dispositivo creando una coppia di chiavi pubblica/privata sul dispositivo. Chrome su Windows protegge queste chiavi nell'hardware utilizzando il Trusted Platform Module (TPM).
Con DBSC, puoi verificare che un utente utilizzi lo stesso dispositivo durante la sessione richiedendo la prova che il browser possiede ancora la chiave privata. In questo modo, è molto più difficile per i malintenzionati utilizzare i cookie rubati, perché in genere non hanno accesso alla chiave privata sul dispositivo dell'utente.
Come funziona DBSC
DBSC è progettato per un'integrazione semplice. Quando un utente esegue l'accesso, puoi
avviare DBSC pubblicando l'intestazione della risposta HTTP Secure-Session-Registration.
Questa intestazione indica al browser di chiamare un endpoint di registrazione sul tuo sito con
la chiave pubblica per la sessione. L'endpoint di registrazione deve quindi memorizzare questa chiave pubblica e rispondere con la configurazione della sessione per stabilire la sessione vincolata.
Una volta associata la sessione, quando un cookie associato sta per scadere, Chrome contatta un endpoint di aggiornamento che fornisci. Su questo endpoint, puoi chiedere al browser di dimostrare di possedere ancora la chiave privata associata alla sessione. Se la verifica va a buon fine, puoi emettere un nuovo cookie per autenticare altre richieste. Se l'operazione non riesce, ad esempio se un malintenzionato sta tentando di utilizzare un cookie rubato su un altro dispositivo senza accesso al TPM, puoi rifiutare la richiesta.
Questo protocollo non richiede modifiche ai flussi di autenticazione al di fuori di questi due endpoint.
Per scoprire di più sull'implementazione delle credenziali della sessione associate al dispositivo, consulta la guida per gli sviluppatori Credenziali della sessione associate al dispositivo.