Daniel Rubery
很高興在此宣布,Windows 版 Chrome 145 現已支援裝置繫結工作階段憑證 (DBSC),提供全新方式來防範 Cookie 遭竊。
工作階段 Cookie 長期以來都是攻擊者的目標。攻擊者可以竊取 Cookie,藉此冒充使用者並存取他們的帳戶。DBSC 會將使用者工作階段繫結至裝置,有助於保護工作階段安全。這項功能會在裝置上建立公開/私密金鑰組,以加密方式將驗證工作階段繫結至裝置。Windows 版 Chrome 會使用信任平台模組 (TPM),在硬體中保護這些金鑰。
使用 DBSC 時,您可以要求瀏覽器提供私密金鑰,藉此驗證使用者在整個工作階段中是否都使用同一部裝置。攻擊者通常無法存取使用者裝置上的私密金鑰,因此難以使用遭竊的 Cookie。
DBSC 的運作方式
DBSC 的設計宗旨是方便整合。使用者登入時,您可以提供 Secure-Session-Registration HTTP 回應標頭,啟動 DBSC。這個標頭會告知瀏覽器,使用工作階段的公開金鑰呼叫您網站上的註冊端點。註冊端點接著應儲存這個公開金鑰,並傳送工作階段設定來建立繫結工作階段。
工作階段繫結後,當繫結的 Cookie 即將到期時,Chrome 會聯絡您提供的重新整理端點。在這個端點上,您可以要求瀏覽器證明其仍擁有與工作階段相關聯的私密金鑰。如果驗證成功,您可以發出新的 Cookie 來驗證其他要求。如果驗證失敗 (例如攻擊者嘗試在其他裝置上使用遭竊的 Cookie,但無法存取 TPM),您可以拒絕要求。
除了這兩個端點外,這個通訊協定不需要變更驗證流程。
如要進一步瞭解如何導入 DBSC,請參閱裝置繫結工作階段憑證開發人員指南。