谷歌浏览器正式推出DBSC设备绑定会话凭证 Cookie被盗后也无法使用
https://www.landian.news/archives/113189.html
https://w3c.github.io/webappsec-dbsc/ (英文)
该机制将身份验证会话加密绑定到特定设备来防止窃取,其利用硬件支持的安全模块 (例如 Windows TPM 或 macOS 的安全隔离区) 生成独立的密钥对,该加密密钥不能从设备上导出,新会话的 Cookie 签发取决于谷歌浏览器向远程服务器证明拥有对应的私钥,由于攻击者无法窃取私钥,因此任何被窃取的 Cookie 都会失效所以继续窃取也没有意义。
————
DBSC = Device Bound Session Credentials
https://www.landian.news/archives/113189.html
https://w3c.github.io/webappsec-dbsc/ (英文)
该机制将身份验证会话加密绑定到特定设备来防止窃取,其利用硬件支持的安全模块 (例如 Windows TPM 或 macOS 的安全隔离区) 生成独立的密钥对,该加密密钥不能从设备上导出,新会话的 Cookie 签发取决于谷歌浏览器向远程服务器证明拥有对应的私钥,由于攻击者无法窃取私钥,因此任何被窃取的 Cookie 都会失效所以继续窃取也没有意义。
————
DBSC = Device Bound Session Credentials
