Google 在 Chrome 浏览器中正式推出“设备绑定会话凭证”(Device Bound Session Credentials,简称 DBSC)功能,旨在防范通过窃取浏览器 Cookie 实施的会话劫持攻击。该功能现已在 Windows 版 Chrome 中向所有用户开放,并默认启用,未来还将扩展至 macOS 平台。
设备绑定如何阻挡 Cookie 劫持
浏览器 Cookie 会存储用户的登录会话和网站偏好,使访问常用网站更加便捷。然而,攻击者可以利用恶意软件远程窃取这些 Cookie,并在自己的设备上重放,从而绕过登录密码甚至多因素认证(MFA)直接冒用用户身份。DBSC 正是专门针对此类威胁设计的安全机制。
DBSC 的核心思路是将登录会话凭证与用户设备内置的安全芯片进行绑定。在 Windows 平台上,该芯片通常是可信平台模块(TPM);在 Mac 上,则对应安全隔区(Secure Enclave)。通过这种绑定,即便黑客成功盗取了浏览器的 Cookie,也无法在其他设备上使用这些凭证,因为凭证与原始设备的硬件信息紧密关联。
Google 在官方博客中解释:“DBSC 在用户登录后进一步增强账户安全性,将会话 Cookie 与用户认证时的设备绑定。即使设备上存在恶意软件,DBSC 也能降低会话劫持风险,使恶意行为者更难利用窃取的会话 Cookie。”该功能最早于 2024 年公布,如今随 Chrome 146(Windows)正式面向所有用户推出。
默认启用与更新方式
值得注意的是,DBSC 现已默认对所有 Google 账户生效,包括使用个人 Google 账户的用户以及 Google Workspace 企业客户。此前,IT 管理员需要手动为组织内的 Chrome 用户启用此保护;现在该功能自动开启,无需任何额外配置。
由于功能默认启用,用户不需要寻找开关或进行设置。只需确保 Chrome 浏览器已更新至最低版本要求:Windows 上需运行 Chrome 146 或更高版本,macOS 上需运行 Chrome 148 或更高版本。在任一操作系统中,点击右上角三点菜单 → “帮助” → “关于 Google Chrome”,即可检查并安装最新更新。
DBSC 的推出标志着 Google 在对抗会话 Cookie 劫持攻击方面迈出了重要一步,通过将安全边界从软件层延伸到硬件层,为账户安全提供了更底层的保护。
本文参考来源:ZDNet
微信扫描下方的二维码阅读本文
