Temos o prazer de anunciar que as credenciais de sessão vinculadas ao dispositivo (DBSC, na sigla em inglês) agora estão disponíveis no Chrome 145 para Windows, oferecendo uma nova maneira de proteger os usuários contra roubo de cookies.
Os cookies de sessão são alvos de invasores há muito tempo. O roubo de cookies permite que um invasor se passe por um usuário e tenha acesso às contas dele. O DBSC ajuda a proteger as sessões dos usuários vinculando-as ao dispositivo em que estão. Ele vincula criptograficamente as sessões de autenticação a um dispositivo criando um par de chaves pública/privada nele. O Chrome no Windows protege essas chaves no hardware usando o Trusted Platform Module (TPM).
Com o DBSC, é possível verificar se um usuário está no mesmo dispositivo durante toda a sessão solicitando uma prova de que o navegador ainda tem a chave privada. Isso dificulta muito o uso de cookies roubados por invasores, porque eles geralmente não têm acesso à chave privada no dispositivo do usuário.
Como o DBSC funciona
O DBSC foi projetado para uma integração simples. Quando um usuário faz login, você pode
iniciar o DBSC veiculando o cabeçalho de resposta HTTP Secure-Session-Registration.
Esse cabeçalho informa ao navegador para chamar um endpoint de registro no seu site com
a chave pública da sessão. Em seguida, o endpoint de registro precisa armazenar
essa chave pública e responder com a configuração da sessão para estabelecer a sessão
vinculada.
Depois que a sessão é vinculada, quando um cookie vinculado é definido para expirar, o Chrome entra em contato com um endpoint de atualização fornecido por você. Nesse endpoint, você pode desafiar o navegador a provar que ainda tem a chave privada associada à sessão. Se o desafio for bem-sucedido, você poderá emitir um novo cookie para autenticar outras solicitações. Se isso falhar, por exemplo, se um invasor estiver tentando usar um cookie roubado em um dispositivo diferente sem acesso ao TPM, você poderá negar a solicitação.
Esse protocolo não exige mudanças nos fluxos de autenticação fora desses dois endpoints.
Para saber mais sobre a implementação do DBSC, consulte o guia do desenvolvedor de credenciais de sessão vinculadas ao dispositivo.