Google воведе нова безбедносна функција во прелистувачот Chrome со цел да ја пресече една од најраспространетите техники во современите сајбер-напади – кражбата на кориснички сесии преку т.н. „infostealer“ малициозен софтвер.
Новитетот се вика Device Bound Session Credentials (DBSC) и е јавно достапен во Chrome верзија 146, додека верзијата 147 носи дополнителни безбедносни решенија. Идејата е едноставна, но моќна: дури и ако напаѓач успее да ги украде „колачињата“ што ја одржуваат активната сесија, тие повеќе да не можат да се искористат за преземање сметка без лозинка.
DBSC ја „врзува“ сесијата за конкретниот уред. Наместо сесијата да се потпира само на колачиња што можат да се копираат и пренесат, системот користи единствен криптографски пар клучеви, генериран и чуван во хардверски заштитени модули. На Windows тоа може да биде Trusted Platform Module (TPM), а на macOS – Secure Enclave. Бидејќи клучевите не можат да се извезат од уредот, украдените сесиски колачиња брзо стануваат неупотребливи.
Функцијата е замислена така што веб-сајтовите можат да ја вклучат оваа заштита, додека Chrome автоматски се грижи за криптографијата и за ротацијата на колачињата. Со тоа се задржува компатибилноста со постојните системи, без да се бара целосна промена на механизмите за најавување.
Протоколот е развиван како отворен стандард во соработка со W3C и компании како Microsoft, со придонес и од партнери од индустријата. По експериментирање со рана верзија во текот на 2025 година, Google забележал „значајно намалување“ на кражбите на сесии кај сесиите што биле заштитени со DBSC.
Во моментов, DBSC е достапен за корисниците на Windows со Chrome 146, а поддршката за macOS се очекува во наредните верзии на прелистувачот.
