谷歌瀏覽器計(jì)劃增加Cookies本地設(shè)備驗(yàn)證 避免惡意軟件竊取后直接利用

目前有不少惡意軟件(尤其是惡意擴(kuò)展程序)都會(huì)竊取瀏覽器保存的 Cookies，其中有一些 Cookies 是已經(jīng)經(jīng)過(guò)驗(yàn)證的網(wǎng)站保留的，即用戶登錄賬號(hào)后生成的，因此惡意軟件盜取后可以利用 Cookies 直接訪問(wèn)用戶賬戶而不需要賬號(hào)密碼以及可以繞過(guò) 2FA 驗(yàn)證。

實(shí)際上這種情況已經(jīng)持續(xù)很多很多年，現(xiàn)在谷歌瀏覽器終于要開始增加新計(jì)劃來(lái)抵御這種攻擊，原理倒是不復(fù)雜：生成的 Cookies 要和本地設(shè)備綁定，也就是離開這臺(tái)設(shè)備后就無(wú)法使用了。

Chrome 團(tuán)隊(duì)提議的新功能名為設(shè)備綁定會(huì)話憑證 (DBSC)，通過(guò)設(shè)備本地的公鑰 / 私鑰對(duì)將身份驗(yàn)證會(huì)話綁定到當(dāng)前設(shè)備，私鑰則可以使用 TPM 可信平臺(tái)模塊進(jìn)行加密保存亦或者使用基于軟件的方法與桌面操作系統(tǒng)一起存儲(chǔ)，因此也難以導(dǎo)出。

谷歌瀏覽器計(jì)劃增加Cookies本地設(shè)備驗(yàn)證 避免惡意軟件竊取后直接利用

在沒(méi)有私鑰的情況下自然無(wú)法解密憑證，因此無(wú)論是黑客是想要竊取 Cookies 還是想要利用竊取的 Cookies 進(jìn)行登錄，難度都會(huì)大幅度提升。

值得注意的是此功能還需要 API 支持，這個(gè)新的 API 會(huì)作為現(xiàn)有 Cookies 功能的替代或增強(qiáng)，在整個(gè)會(huì)話生命周期中 (即過(guò)期前) 驗(yàn)證私鑰的擁有證明。

每個(gè)會(huì)話都會(huì)由唯一的密鑰支持，并且 DBSC 不允許不同網(wǎng)站將同一個(gè)設(shè)備不同會(huì)話的密鑰關(guān)聯(lián)起來(lái)，避免通過(guò)這種方式來(lái)追蹤用戶。

谷歌也強(qiáng)調(diào) DBSC 發(fā)送到服務(wù)器的唯一信息就是每個(gè)會(huì)話的公鑰，服務(wù)器會(huì)使用該公鑰來(lái)驗(yàn)證密鑰，不會(huì)泄露設(shè)備本身的其他信息，例如 IP 地址、操作系統(tǒng)、瀏覽器版本、分辨率、語(yǔ)言之類的 (但網(wǎng)站本身可以通過(guò)其他方式收集這些信息)

不過(guò)這個(gè)功能并不能直接由谷歌瀏覽器完成，實(shí)際上這需要操作系統(tǒng)開發(fā)商以及網(wǎng)站開發(fā)者一起努力，谷歌希望將 DBSC 變成開放的網(wǎng)絡(luò)標(biāo)準(zhǔn)，目前 Microsoft Edge 團(tuán)隊(duì)、Okta 以及其他身份驗(yàn)證提供商都對(duì)該標(biāo)準(zhǔn)感興趣。

項(xiàng)目地址：https://github.com/WICG/dbsc