有望让 Cookie 攻击走向历史，谷歌 Chrome 浏览器 Windows 版 146 更新引入 DBSC 功能

4 月 10 日消息，据科技媒体 TechRadar 今天报道，谷歌现已为 Chrome 浏览器 Windows 版 146 更新引入“设备绑定会话凭据”（Device Bound Session Credentials，DBSC）功能，将用户的身份验证会话绑定到物理设备并加密，有望让 Cookie 攻击行为走向历史。

据介绍，DBSC 可利用硬件级安全模块（如 Windows 的 TPM）生成一对无法导出的公钥 / 私钥，后者将始终存在本地设备中，无法被攻击者窃取 / 导出。

该功能允许网站在后端添加专用注册 / 刷新接口，将现有会话升级为更安全模式，同时保持前端系统兼容性。Chrome 将负责加密、Cookie 轮换，网站仍然可以像以前一样使用标准 Cookie。

这项新功能的核心亮点在于，即使用户的 Cookie 被黑客盗走，也无法挪用到其他设备上，从根本上削弱信息窃取攻击的效果。

目前该功能已在 Windows 版 Chrome 146 实装，macOS 版预计未来几周上线。

注：Cookie 又被称为数码存根、“饼干”，是浏览网站时，由网络服务器创建并由浏览器存储的小文本文件，能够让网站服务器记住用户的设备状态信息（如深色 / 浅色模式、语言、购物车等），还能被用来跟踪用户浏览活动（如爱看什么商品、登录历史等）。