Chrome 将通过设备绑定会话凭证阻止黑客盗用 cookie

关键词

Google 正在以设备绑定会话凭证 (DBSC) 的形式为 Chrome 带来新的用户保护功能，这项新技术将浏览器身份验证会话绑定到设备以防止 cookie 被盗。

DBSC由 Web 孵化器社区组 (WICG) 公开开发，预计将成为开放标准，它依靠私钥进行身份验证来保证用户会话的安全。

Cookie 是由访问的网站创建并存储在设备上的小代码片段，可改善用户的浏览体验，但作为不记名令牌方案运行，可能会被滥用以危害网络帐户。

身份验证 cookie 是在登录后创建的，如果被盗，威胁行为者就可以绕过两因素身份验证并立即访问受害者的帐户。

Cookie 通常是使用网络浏览器无法保护用户免受信息窃取的恶意软件收集的，并且一旦被盗，即使恶意软件被检测到并删除，也可以使用。

使用 DBSC，服务器和浏览器之间的会话与安全存储在设备上的一对公钥和私钥相关联。在会话的整个生命周期中，服务器会定期检查私钥，以确保它仍然位于同一设备上。

“我们认为这将大大降低 cookie 盗窃恶意软件的成功率。攻击者将被迫在设备上进行本地操作，这使得设备上的检测和清理更加有效，无论是对于防病毒软件还是企业管理的设备，”谷歌表示。

DBSC 为网站提供了一个 API 来控制此类密钥的生命周期，并提供了检查所有权证明的协议。每个会话都有自己的私钥，网站应该无法确定两个密钥是否来自同一设备。

“登录时，API 会通知浏览器会话已开始，从而触发密钥创建。然后，它指示浏览器在该会话处于活动状态时每次发出请求时，浏览器都应确保某些 cookie 的存在。如果这些 cookie 不存在，DBSC 将保留网络请求，同时查询配置的端点以获取更新的 cookie。”DBSC 的维护人员解释道。

据谷歌称，该公司正在为一半的 Chrome 桌面用户提供 DBSC，有关该设备的任何有意义的信息都不会被泄露：“发送到服务器的唯一信息是每会话公钥，服务器稍后用它来证明密钥拥有的证明” ”。

DBSC 将根据计算机的硬件功能在 Chrome 中提供 – 尽管谷歌也可能考虑为所有用户支持软件密钥 – 并且其实施将与第三方 cookie 的逐步淘汰保持一致。

这家互联网巨头还采取措施，确保在第三方 cookie 被消除后，DBSC 不会成为新的跟踪向量，同时这些 cookie 仍受到保护。当用户选择退出 cookie 时，DBSC 也将被禁用。

Google 目前正在 Chrome Beta 中的 Google 帐户上尝试 DBSC 原型。全面部署后，它将为消费者和企业用户提供更高的帐户安全性。网站的原始试验应在 2024 年底前推出。

“我们还在努力为我们的 Google Workspace 和 Google Cloud 客户启用这项技术，从而提供另一层帐户安全，”这家互联网巨头解释道。