이제 Windows의 Chrome 145에서 기기 바운드 세션 사용자 인증 정보 (DBSC)를 사용할 수 있습니다. DBSC는 쿠키 도용으로부터 사용자를 보호하는 새로운 방법을 제공합니다.
세션 쿠키는 오랫동안 공격자의 표적이었습니다. 공격자는 쿠키를 도용하여 사용자를 가장하고 계정에 액세스할 수 있습니다. DBSC는 사용자 세션을 사용 중인 기기에 바인딩하여 사용자 세션을 보호합니다. 기기에 공개 키/비공개 키 쌍을 만들어 인증 세션을 기기에 암호화 방식으로 바인딩합니다. Windows에서 실행되는 Chrome은 신뢰할 수 있는 플랫폼 모듈 (TPM)을 사용하여 하드웨어에서 이러한 키를 보호합니다.
DBSC를 사용하면 브라우저가 여전히 비공개 키를 보유하고 있다는 증거를 요청하여 사용자가 세션 내내 동일한 기기를 사용하고 있는지 확인할 수 있습니다. 이렇게 하면 공격자가 훔친 쿠키를 사용하기가 훨씬 어려워집니다. 일반적으로 공격자는 사용자 기기의 비공개 키에 액세스할 수 없기 때문입니다.
DBSC 작동 방식
DBSC는 간단한 통합을 위해 설계되었습니다. 사용자가 로그인하면 Secure-Session-Registration HTTP 응답 헤더를 제공하여 DBSC를 시작할 수 있습니다.
이 헤더는 브라우저에 세션의 공개 키를 사용하여 사이트의 등록 엔드포인트를 호출하도록 지시합니다. 그런 다음 등록 엔드포인트는 이 공개 키를 저장하고 바인딩된 세션을 설정하기 위해 세션 구성으로 응답해야 합니다.
세션이 바인드되면 바인드된 쿠키가 만료되도록 설정될 때 Chrome은 개발자가 제공한 새로고침 엔드포인트에 연락합니다. 이 엔드포인트에서 브라우저가 세션과 연결된 비공개 키를 여전히 보유하고 있음을 증명하도록 요청할 수 있습니다. 챌린지가 성공하면 다른 요청을 인증하기 위해 새 쿠키를 발급할 수 있습니다. 예를 들어 공격자가 TPM에 액세스하지 않고 다른 기기에서 도난된 쿠키를 사용하려고 하면 요청을 거부할 수 있습니다.
이 프로토콜에서는 이러한 두 엔드포인트 외에 인증 흐름을 변경할 필요가 없습니다.
DBSC 구현에 대해 자세히 알아보려면 기기 바운드 세션 사용자 인증 정보 개발자 가이드를 참고하세요.