We zijn verheugd aan te kondigen dat Device Bound Session Credentials (DBSC) nu beschikbaar zijn in Chrome 145 voor Windows. Dit biedt een nieuwe manier om gebruikers te beschermen tegen diefstal van cookies.
Sessiecookies zijn al lange tijd een doelwit voor aanvallers. Door cookies te stelen kan een aanvaller zich voordoen als een gebruiker en toegang krijgen tot diens accounts. DBSC helpt gebruikerssessies te beveiligen door ze te koppelen aan het apparaat waarop ze worden gebruikt. Het koppelt authenticatiesessies cryptografisch aan een apparaat door een publiek/privaat sleutelpaar op het apparaat aan te maken. Chrome op Windows beschermt deze sleutels in hardware met behulp van de Trusted Platform Module (TPM).
Met DBSC kunt u verifiëren dat een gebruiker gedurende de hele sessie hetzelfde apparaat gebruikt door te vragen of de browser nog steeds over de privésleutel beschikt. Dit maakt het voor aanvallers aanzienlijk moeilijker om gestolen cookies te gebruiken, omdat ze doorgaans geen toegang hebben tot de privésleutel op het apparaat van de gebruiker.
Hoe DBSC werkt
DBSC is ontworpen voor eenvoudige integratie. Wanneer een gebruiker inlogt, kunt u DBSC starten door de HTTP-antwoordheader Secure-Session-Registration te verzenden. Deze header geeft de browser de opdracht om een registratie-eindpunt op uw site aan te roepen met de publieke sleutel voor de sessie. Uw registratie-eindpunt moet deze publieke sleutel vervolgens opslaan en reageren met de sessieconfiguratie om de gekoppelde sessie tot stand te brengen.
Zodra de sessie is gekoppeld, neemt Chrome contact op met een vernieuwings-eindpunt dat u opgeeft wanneer een gekoppelde cookie bijna verloopt. Op dit eindpunt kunt u de browser vragen te bewijzen dat deze nog steeds de privésleutel bezit die aan de sessie is gekoppeld. Als de verificatie slaagt, kunt u een nieuwe cookie uitgeven om andere verzoeken te authenticeren. Als de verificatie mislukt, bijvoorbeeld als een aanvaller probeert een gestolen cookie te gebruiken op een ander apparaat zonder toegang tot de TPM, kunt u het verzoek weigeren.
Dit protocol vereist geen wijzigingen in uw authenticatiestromen, afgezien van deze twee eindpunten.
Voor meer informatie over het implementeren van DBSC, raadpleeg de ontwikkelaarsgids voor apparaatgebonden sessiegegevens .