谷歌推出 DBSC 技术:通过设备绑定强化 Cookie 安全防护
谷歌 Chrome 浏览器在 Windows 版 146 更新中正式引入了 DBSC(Device Bound Session Credentials,设备绑定会话凭据),macOS 版本也将在后续更新中加入。该技术将身份验证会话与物理设备进行加密绑定,从根本上遏制 InfoStealer 恶意软件通过窃取 Cookie 劫持用户账户的攻击链路。
Cookie 盗取:当前最紧迫的认证威胁
Web 认证模型依赖浏览器 Cookie 维持登录状态。一旦恶意软件(如 LummaC2、RedLine、Raccoon 等 InfoStealer 家族)感染用户设备,可在数秒内导出浏览器中存储的全部 Cookie,上传至攻击者控制的 C2 服务器。攻击者随后可在任意设备上复用这些 Cookie,绕过密码和二次验证,直接接管受害者账户。
谷歌的分析指出,一旦高级恶意软件获得了系统访问权限,它可以读取浏览器存储认证 Cookie 的本地文件和内存。这意味着仅靠软件手段无法在任何操作系统上可靠地阻止 Cookie 窃取。传统的防御方式依赖事后检测——通过复杂的滥用启发式规则来识别被盗凭证——但这种被动方式常常被持续性攻击者绕过。
DBSC 从根本上改变了这一局面:将范式从被动检测转向主动预防,确保被窃取的 Cookie 无法用于访问用户账户。
DBSC 的技术原理
DBSC 的核心是将身份验证会话与特定设备进行加密绑定:
- 硬件级密钥生成:利用设备上的安全模块(Windows TPM、macOS Secure Enclave)生成非对称密钥对。私钥由硬件安全模块保护,存储在本地且无法导出。
- 会话绑定与持续验证:用户完成认证后,浏览器将公钥注册到服务器。之后浏览器发放新的短期 Session Cookie 时,必须向服务器证明持有对应的私钥。每次请求,浏览器用私钥签名,服务器验证后才允许访问。
- 跨设备失效:攻击者即使成功窃取 Cookie,由于缺少原始设备的硬件私钥,无法伪造合法签名,Cookie 迅速过期且完全无效。这一设计让大型和小型网站都可以通过添加专用的注册和刷新端点来升级到硬件绑定会话,同时保持与现有前端完全兼容。
隐私保护设计
DBSC 的架构以保护用户隐私为核心原则:
- 每个 Session 使用独立的密钥,防止网站利用这些凭证关联用户在不同会话或站点间的活动
- 协议设计精简,不向服务器泄露设备标识符或证明数据,仅传递必要的每次会话公钥
- 最小化的信息交换确保 DBSC 在保护会话安全的同时,不会成为跨站追踪或设备指纹识别的工具
行业协作与开放标准
DBSC 从一开始就被设计为通过 W3C 流程的开放 Web 标准,并被 Web Application Security Working Group 采纳。谷歌与微软合作设计标准,确保其对整个 Web 生态的适用性。过去一年中,谷歌进行了两次 Origin Trials,Okta 等主流平台积极参与测试,提供了关键反馈。
未来方向包括:
- 联邦身份保护:扩展 DBSC 协议以支持跨域绑定,确保 SSO 场景中从身份提供商到依赖方的完整信任链
- 高级注册能力:将会话绑定到预先存在的可信密钥材料,集成 mTLS 证书或硬件安全钥匙
- 更广泛的设备支持:探索更多平台的软件和硬件方案
来源:
- Firefox 149 内置免费 VPN:50GB 月流量,首批限四国3/19/2026
- 爱泼斯坦案幸存者起诉 Google:AI 搜索放大了数据泄露的伤害3/27/2026
- 豆包输入法闲置时的后台网络行为:那些不该出现的域名4/4/2026
- 苹果锁定模式近四年零攻破记录3/28/2026
- 苹果向 FBI 交出隐藏我的邮箱背后的真实账户信息3/27/2026
- Microsoft Edge 被曝会话期间明文保存所有密码于内存5/5/2026
- Anthropic 的终极安全模型 Mythos,上线当天就被未授权访问了4/23/2026
- 苹果警告:iOS 13/14 用户需立即升级至 iOS 153/20/2026
- DarkSword 被披露:Safari 打开恶意网页即可被入侵,旧版 iPhone 该升级了3/19/2026
- ShinyHunters 入侵 Rockstar Games,通过第三方工具窃取 Snowflake 数据4/14/2026
- Vercel 确认安全事件,暗网卖家声称掌握核心访问权限4/19/2026
- PyPI 包 lightning 遭供应链攻击,800 万月下载量的 ML 框架暴露开发者凭证5/2/2026
- 逆向 Claude Code 请求签名:cch 是怎么算出来的4/3/2026
- Apple 修复 iOS 通知数据残留漏洞(CVE-2026-28950)4/22/2026
- 宝可梦GO玩家300亿张扫描图,可能正在训练军用无人机6/11/2026
- LLM 供应链安全警钟:超 20% 免费 API 路由器存在恶意行为4/10/2026
- Claude 曝出「身份混淆」缺陷:AI 代理误认自身推理为用户指令,触发安全风险4/10/2026
- 白宫官方 App 逆向拆解:付费墙绕过、休眠定位追踪与供应链风险3/28/2026
- Android 17 后量子加密落地:系统可信根的量子抗性升级3/26/2026
- Claude Code 被指通过 system prompt 隐蔽传递代理与时区信息6/30/2026
- Linux 内核曝 DirtyClone 高危漏洞,本地用户可静默提权至 root6/27/2026
- Cherry Studio 被指违规遥测,禁用分析功能后仍连接服务器4/19/2026
- Google公布Android侧载新规:安装未验证应用须等24小时3/20/2026
- 装个App等24小时:Google给Android侧载上了把锁3/20/2026
- GrapheneOS 拒绝把操作系统做成身份核验入口3/24/2026
- 英国生物样本库数据遭非法挂牌出售,官方紧急收紧研究访问权限4/24/2026
- 金山毒霸与 360 安全卫士内核驱动曝高危漏洞4/13/2026
- Chrome DBSC 上线:用硬件绑定让被盗 Cookie 变废纸4/11/2026
- 深圳比亚迪坪山园区立体车库起火,官方称无人员伤亡4/14/2026
- Anthropic MCP 协议架构漏洞波及 1.5 亿次下载,20 万台服务器面临 RCE 风险4/21/2026