Funkcija pod nazivom Device Bound Session Credentials (DBSC) postala je javno dostupna u Chrome verziji 146, dok je Chrome 147 donio dodatne bezbjednosne zakrpe.
DBSC je osmišljen da spriječi napadače da zloupotrebe ukradene kolačiće sesije, koji se često koriste za preuzimanje naloga bez potrebe za lozinkom. Umjesto toga, sistem vezuje sesiju za konkretan uređaj, koristeći jedinstveni par kriptografskih ključeva koji se generiše i čuva u hardverski zaštićenim modulima, poput Trusted Platform Module (TPM) na Windowsu ili Secure Enclave na macOS-u, prenosi B92.
Pošto ovi ključevi ne mogu da se izvezu sa uređaja, čak i ako napadači uspiju da ukradu kolačiće, oni brzo postaju neupotrebljivi.
Nova funkcija omogućava sajtovima da implementiraju ovakav vid zaštite, dok Chrome automatski upravlja kriptografijom i rotacijom kolačića. Time se zadržava kompatibilnost sa postojećim sistemima, bez potrebe za potpunim prelaskom na nove mehanizme autentifikacije.
Ovaj protokol razvijen je kao otvoreni standard u saradnji sa organizacijom W3C i kompanijama poput Microsoft-a, uz doprinos industrijskih partnera kao što je Okta.
Nakon eksperimentisanja sa ranom verzijom ovog protokola 2025. godine, Google je primijetio ,,značajno smanjenje krađe sesija” za sesije zaštićene DBSC-om.
Preporučeno
Funkcija je trenutno dostupna korisnicima na Windows-u u Chrome 146, dok se podrška za macOS očekuje u narednim verzijama pregledača.
Video