เรายินดีที่จะประกาศว่าตอนนี้ข้อมูลเข้าสู่ระบบเซสชันที่ผูกกับอุปกรณ์ (DBSC) พร้อมใช้งานใน Chrome 145 บน Windows แล้ว ซึ่งเป็นวิธีใหม่ในการปกป้องผู้ใช้จากการขโมยคุกกี้
คุกกี้เซสชันเป็นเป้าหมายของผู้โจมตีมานานแล้ว การขโมยคุกกี้ช่วยให้ผู้โจมตีแอบอ้างเป็นผู้ใช้และเข้าถึงบัญชีของผู้ใช้ได้ DBSC ช่วยรักษาความปลอดภัยของเซสชันผู้ใช้โดยการเชื่อมโยงเซสชันกับอุปกรณ์ที่ผู้ใช้ใช้งาน โดยจะผูกเซสชันการตรวจสอบสิทธิ์กับอุปกรณ์ด้วยการเข้ารหัสลับด้วยการสร้างคู่คีย์สาธารณะ/ส่วนตัวในอุปกรณ์ Chrome ใน Windows จะปกป้องคีย์เหล่านี้ในฮาร์ดแวร์โดยใช้ Trusted Platform Module (TPM)
DBSC ช่วยให้คุณยืนยันได้ว่าผู้ใช้ใช้อุปกรณ์เครื่องเดียวกันตลอดเซสชันโดยการขอหลักฐานที่แสดงว่าเบราว์เซอร์ยังคงมีคีย์ส่วนตัว ซึ่งทำให้ผู้โจมตีใช้คุกกี้ที่ขโมยมาได้ยากขึ้นอย่างมาก เนื่องจากโดยปกติแล้วผู้โจมตีจะไม่มีสิทธิ์เข้าถึงคีย์ส่วนตัวในอุปกรณ์ของผู้ใช้
วิธีการทำงานของ DBSC
DBSC ออกแบบมาเพื่อการผสานรวมที่ไม่ซับซ้อน เมื่อผู้ใช้เข้าสู่ระบบ คุณสามารถ
เริ่ม DBSC ได้โดยแสดงส่วนหัวการตอบกลับ HTTP Secure-Session-Registration
ส่วนหัวนี้จะบอกให้เบราว์เซอร์เรียกใช้ปลายทางการลงทะเบียนในเว็บไซต์ของคุณด้วยคีย์สาธารณะสำหรับเซสชัน จากนั้นปลายทางการลงทะเบียนควรจัดเก็บ
คีย์สาธารณะนี้และตอบกลับด้วยการกำหนดค่าเซสชันเพื่อสร้างเซสชันที่เชื่อมโยง
เมื่อผูกเซสชันแล้ว เมื่อตั้งค่าคุกกี้ที่ผูกไว้ให้หมดอายุ Chrome จะ ติดต่อปลายทางการรีเฟรชที่คุณระบุ ในปลายทางนี้ คุณสามารถท้าทาย เบราว์เซอร์เพื่อพิสูจน์ว่าเบราว์เซอร์ยังคงมีคีย์ส่วนตัวที่เชื่อมโยงกับ เซสชัน หากการท้าทายสำเร็จ คุณจะออกคุกกี้ใหม่เพื่อ ตรวจสอบสิทธิ์คำขออื่นๆ ได้ หากไม่สำเร็จ เช่น หากผู้โจมตีพยายาม ใช้คุกกี้ที่ขโมยมาในอุปกรณ์อื่นโดยไม่มีสิทธิ์เข้าถึง TPM คุณสามารถ ปฏิเสธคำขอได้
โปรโตคอลนี้ไม่จำเป็นต้องเปลี่ยนแปลงโฟลว์การตรวจสอบสิทธิ์ภายนอก ปลายทาง 2 รายการนี้
ดูข้อมูลเพิ่มเติมเกี่ยวกับการติดตั้งใช้งาน DBSC ได้ที่คู่มือนักพัฒนาซอฟต์แวร์เกี่ยวกับข้อมูลเข้าสู่ระบบเซสชันที่ผูกกับอุปกรณ์