Cihaza bağlı oturum kimlik bilgilerinin (DBSC) artık Windows'da Chrome 145'te kullanılabildiğini duyurmaktan heyecan duyuyoruz. Bu özellik, kullanıcıları çerez hırsızlığından korumanın yeni bir yolunu sunuyor.
Oturum çerezleri uzun süredir saldırganların hedefi olmuştur. Çerezleri çalan saldırganlar, kullanıcıların kimliğine bürünerek hesaplarına erişebilir. Cihaza bağlı oturum kimlik bilgileri, kullanıcı oturumlarını bulundukları cihaza bağlayarak güvenli hale getirir. Cihazda ortak/özel anahtar çifti oluşturarak kimlik doğrulama oturumlarını cihaza kriptografik olarak bağlar. Windows'daki Chrome, bu anahtarları Güvenilir Platform Modülü (TPM) kullanarak donanımda korur.
DBSC ile, tarayıcının özel anahtara hâlâ sahip olduğuna dair kanıt isteyerek kullanıcının oturumu boyunca aynı cihazda olduğunu doğrulayabilirsiniz. Saldırganlar genellikle kullanıcının cihazındaki özel anahtara erişemeyeceğinden, bu durum çalıntı çerezleri kullanmalarını önemli ölçüde zorlaştırır.
Cihaza bağlı oturum kimlik bilgilerinin işleyiş şekli
DBSC, basit bir entegrasyon için tasarlanmıştır. Kullanıcı giriş yaptığında Secure-Session-Registration HTTP yanıt başlığını sunarak DBSC'yi başlatabilirsiniz.
Bu başlık, tarayıcıya oturumun ortak anahtarıyla sitenizdeki bir kayıt uç noktasını çağırmasını söyler. Ardından, kayıt uç noktanız bu ortak anahtarı saklamalı ve bağlı oturumu oluşturmak için oturum yapılandırmasıyla yanıt vermelidir.
Oturum bağlandıktan sonra, bağlı bir çerezin süresi dolduğunda Chrome, sizin sağladığınız bir yenileme uç noktasıyla iletişime geçer. Bu uç noktada, tarayıcıya oturumla ilişkili özel anahtara hâlâ sahip olduğunu kanıtlama konusunda meydan okuyabilirsiniz. Sorgulama başarılı olursa diğer isteklerin kimliğini doğrulamak için yeni bir çerez verebilirsiniz. Örneğin, bir saldırgan TPM'ye erişmeden farklı bir cihazda çalınmış bir çerezi kullanmaya çalışıyorsa doğrulama başarısız olur ve isteği reddedebilirsiniz.
Bu protokol, bu iki uç nokta dışında kimlik doğrulama akışlarınızda herhangi bir değişiklik yapılmasını gerektirmez.
DBSC'yi uygulama hakkında daha fazla bilgi edinmek için Cihaza Bağlı Oturumu Kimlik Bilgileri Geliştirici Kılavuzu'na bakın.