🏠IT之家•較早收集於 83m
Chrome 146 加入 DBSC 阻絕 Cookie 攻擊

💡Chrome DBSC 終結 Cookie 竊取—立即強化 AI SaaS 登入防劫持。
⚡ 30-Second TL;DR
有什麼變化
DBSC 使用 TPM 產生無法匯出的公私鑰對,本地儲存。
為什麼重要
此功能從根本削弱 Cookie 會話劫持,提升網頁應用安全而無需開發者大改。為設備綁定驗證樹立新標準,有益高安全性 AI 網頁服務。普及可降低產業釣魚成功率。
下一步行動
升級至 Windows Chrome 146,並為 AI 網頁應用驗證原型 DBSC 會話升級。
誰應關注:Developers & AI Engineers
關鍵要點
- •DBSC 使用 TPM 產生無法匯出的公私鑰對,本地儲存。
- •將使用者會話綁定特定裝置,使竊取 Cookie 在他處無效。
- •網站後端新增註冊/刷新 API;Chrome 處理加密與 Cookie 輪換。
- •維持前端與標準 Cookie 相容。
🧠 深度解析
AI-generated analysis for this event.
🔑 增強重點摘要
- •DBSC 協議設計為開源標準,Google 正積極推動其進入 IETF(網際網路工程任務組)標準化流程,旨在讓其他瀏覽器供應商(如 Firefox、Safari)也能實作此機制。
- •該技術不僅限於 TPM,亦支援作業系統層級的硬體安全模組(如 Apple 的 Secure Enclave),確保在不同生態系統中皆能提供一致的硬體級別保護。
- •DBSC 透過定期輪換會話憑證,即使攻擊者在極短時間內成功攔截憑證,該憑證的有效期限也極短,大幅降低了攻擊者利用竊取憑證進行長期未經授權存取的風險。
🛠️ 技術深入
- •DBSC 運作機制:瀏覽器在本地產生一對非對稱金鑰(公鑰與私鑰),私鑰受硬體安全模組(如 TPM 2.0)保護,無法被匯出。
- •驗證流程:當使用者登入網站時,瀏覽器會將公鑰發送給伺服器進行註冊;後續的 Cookie 請求會包含一個由私鑰簽名的驗證挑戰(Challenge),伺服器驗證簽名以確認請求來自原始裝置。
- •會話輪換:DBSC 支援會話憑證的定期自動更新,透過與伺服器端的 API 互動,確保即使憑證被竊取,其時效性也受到嚴格限制。
- •隱私保護:該機制設計為不追蹤使用者跨網站的行為,僅用於驗證當前會話與特定裝置的綁定關係,避免了傳統指紋識別技術帶來的隱私疑慮。
🔮 前景展望AI analysis grounded in cited sources
Session Hijacking 攻擊成本將顯著提升
攻擊者必須具備繞過硬體安全模組的能力,而非僅僅竊取 Cookie 檔案即可獲取帳號權限。
企業級資安防護將強制要求 DBSC 支援
隨著 DBSC 普及,企業將傾向於僅允許支援設備綁定憑證的瀏覽器存取內部敏感系統,以防範端點受損導致的資料外洩。
⏳ 時間線
2024-05
Google 首次公開 DBSC(Device Bound Session Credentials)技術提案
2024-09
Chrome 瀏覽器開始在 Canary 版本中進行 DBSC 的初步測試與實驗
2026-04
Chrome 146 正式版於 Windows 平台全面啟用 DBSC 功能
📰
AI 週報
閱讀本週精選 AI 大事摘要 →
👉相關動態
AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: IT之家 ↗


