Z przyjemnością informujemy, że w Chrome 145 na Windowsie udostępniliśmy dane uwierzytelniające sesji powiązane z urządzeniem (DBSC), które stanowią nowy sposób ochrony użytkowników przed kradzieżą plików cookie.
Pliki cookie sesji od dawna są celem ataków hakerów. Kradzież plików cookie umożliwia atakującemu podszywanie się pod użytkownika i uzyskanie dostępu do jego kont. DBSC pomaga zabezpieczać sesje użytkowników, wiążąc je z urządzeniem, na którym są otwarte. Kryptograficznie wiąże sesje uwierzytelniania z urządzeniem, tworząc na nim parę kluczy publiczny/prywatny. Chrome w systemie Windows chroni te klucze w sprzęcie za pomocą modułu TPM (Trusted Platform Module).
Dzięki DBSC możesz potwierdzić, że użytkownik korzysta z tego samego urządzenia przez całą sesję, prosząc o dowód na to, że przeglądarka nadal ma klucz prywatny. Znacznie utrudnia to osobom przeprowadzającym atak używanie skradzionych plików cookie, ponieważ zwykle nie mają one dostępu do klucza prywatnego na urządzeniu użytkownika.
Jak działa DBSC
DBSC został zaprojektowany z myślą o prostej integracji. Gdy użytkownik się zaloguje, możesz zainicjować DBSC, wyświetlając nagłówek odpowiedzi HTTP Secure-Session-Registration.
Ten nagłówek informuje przeglądarkę, aby wywołała punkt końcowy rejestracji w Twojej witrynie z kluczem publicznym sesji. Punkt końcowy rejestracji powinien następnie zapisać ten klucz publiczny i odpowiedzieć konfiguracją sesji, aby ustanowić powiązaną sesję.
Gdy sesja zostanie powiązana, a powiązany plik cookie wygaśnie, Chrome skontaktuje się z podanym przez Ciebie punktem końcowym odświeżania. W tym punkcie końcowym możesz poprosić przeglądarkę o udowodnienie, że nadal ma klucz prywatny powiązany z sesją. Jeśli weryfikacja się powiedzie, możesz wydać nowy plik cookie, aby uwierzytelnić inne żądania. Jeśli się nie powiedzie, np. gdy atakujący próbuje użyć skradzionego pliku cookie na innym urządzeniu bez dostępu do modułu TPM, możesz odrzucić żądanie.
Ten protokół nie wymaga wprowadzania zmian w procesach uwierzytelniania poza tymi 2 punktami końcowymi.
Więcej informacji o wdrażaniu DBSC znajdziesz w przewodniku dla programistów dotyczącym danych uwierzytelniających sesji powiązanych z urządzeniem.