Google Chrome DBSC裝置綁定連線階段憑證全面開放防禦Session Theft攻擊
概述
Google 於 2026 年 6 月將 DBSC(Device Bound Session Credentials,裝置綁定連線階段憑證) 全面部署至 Windows 版 Chrome 146,並計畫擴展至 macOS Chrome。DBSC 利用硬體安全模組(TPM / Secure Enclave)將 session 憑證綁定至特定裝置,使竊取的 cookies 無法在其他裝置上重用,從根本對抗 Session Theft 攻擊。
技術原理
| 元件 | 說明 |
|---|---|
| 硬體安全模組 | Windows TPM / macOS Secure Enclave |
| 金鑰產生 | 每個帳號/網站生成唯一公/私鑰對,私鑰無法匯出 |
| 公鑰 | 儲存於服務伺服器,與特定裝置綁定 |
| 私鑰 | 加密儲存於本地硬體,無法複製 |
| 驗證機制 | 登入時須以私鑰完成裝置驗證,cookie 竊取後無法在其他裝置使用 |
防禦的威脅
- Session Theft(連線階段竊取):惡意程式(如 LummaC2 Infostealer)從瀏覽器擷取 session cookies,利用長效期 cookies 繞過密碼重新驗證
- 即使攻擊者竊得 cookie,DBSC 確保 cookie 在未綁定裝置上無效
生態系推進
- Google 與 微軟聯手設計並推動 W3C 標準化
- Okta 等多家 Web 平臺業者已參與測試
- 未來計畫:聯邦式身分(SSO)支援、與 mTLS/硬體金鑰整合、多元硬體平臺強化
部署現況
- Windows Chrome 146:已正式全面部署(2026-04 整合,2026-06 全面開放)
- macOS Chrome:即將推出
來源文章
相關頁面
- google — Google公司(開發者與推動者)