Chúng tôi rất vui mừng thông báo rằng Thông tin xác thực phiên được liên kết với thiết bị (DBSC) hiện đã có trong Chrome 145 trên Windows, mang đến một cách thức mới để bảo vệ người dùng khỏi hành vi đánh cắp cookie.
Cookie phiên từ lâu đã là mục tiêu của kẻ tấn công. Việc đánh cắp cookie cho phép kẻ tấn công mạo danh người dùng và giành quyền truy cập vào tài khoản của họ. DBSC giúp bảo mật các phiên của người dùng bằng cách liên kết các phiên đó với thiết bị mà người dùng đang sử dụng. Dịch vụ này liên kết các phiên xác thực với một thiết bị bằng cách tạo một cặp khoá công khai/riêng tư trên thiết bị. Chrome trên Windows bảo vệ các khoá này trong phần cứng bằng Mô-đun nền tảng đáng tin cậy (TPM).
Với DBSC, bạn có thể xác minh rằng người dùng đang sử dụng cùng một thiết bị trong suốt phiên hoạt động bằng cách yêu cầu bằng chứng cho thấy trình duyệt vẫn giữ khoá riêng tư. Điều này khiến kẻ tấn công khó sử dụng cookie bị đánh cắp hơn đáng kể, vì chúng thường không có quyền truy cập vào khoá riêng tư trên thiết bị của người dùng.
Cách hoạt động của DBSC
DBSC được thiết kế để tích hợp đơn giản. Khi người dùng đăng nhập, bạn có thể bắt đầu DBSC bằng cách phân phát tiêu đề phản hồi HTTP Secure-Session-Registration.
Tiêu đề này yêu cầu trình duyệt gọi một điểm cuối đăng ký trên trang web của bạn bằng khoá công khai cho phiên. Sau đó, điểm cuối đăng ký của bạn sẽ lưu trữ khoá công khai này và phản hồi bằng cấu hình phiên để thiết lập phiên bị ràng buộc.
Sau khi phiên được liên kết, khi một cookie liên kết được đặt để hết hạn, Chrome sẽ liên hệ với một điểm cuối làm mới mà bạn cung cấp. Trên điểm cuối này, bạn có thể yêu cầu trình duyệt chứng minh rằng trình duyệt vẫn sở hữu khoá riêng tư được liên kết với phiên. Nếu vượt qua thử thách, bạn có thể phát hành một cookie mới để xác thực các yêu cầu khác. Nếu thất bại, chẳng hạn như nếu kẻ tấn công đang cố gắng sử dụng cookie bị đánh cắp trên một thiết bị khác mà không có quyền truy cập vào TPM, bạn có thể từ chối yêu cầu.
Giao thức này không yêu cầu bạn thay đổi quy trình xác thực ngoài 2 điểm cuối này.
Để tìm hiểu thêm về cách triển khai DBSC, hãy xem hướng dẫn cho nhà phát triển về Thông tin đăng nhập phiên liên kết với thiết bị.