Google Chrome DBSC裝置綁定連線階段憑證全面開放防禦Session Theft攻擊

概述

Google 於 2026 年 6 月將 DBSC(Device Bound Session Credentials,裝置綁定連線階段憑證) 全面部署至 Windows 版 Chrome 146,並計畫擴展至 macOS Chrome。DBSC 利用硬體安全模組(TPM / Secure Enclave)將 session 憑證綁定至特定裝置,使竊取的 cookies 無法在其他裝置上重用,從根本對抗 Session Theft 攻擊。

技術原理

元件說明
硬體安全模組Windows TPM / macOS Secure Enclave
金鑰產生每個帳號/網站生成唯一公/私鑰對,私鑰無法匯出
公鑰儲存於服務伺服器,與特定裝置綁定
私鑰加密儲存於本地硬體,無法複製
驗證機制登入時須以私鑰完成裝置驗證,cookie 竊取後無法在其他裝置使用

防禦的威脅

  • Session Theft(連線階段竊取):惡意程式(如 LummaC2 Infostealer)從瀏覽器擷取 session cookies,利用長效期 cookies 繞過密碼重新驗證
  • 即使攻擊者竊得 cookie,DBSC 確保 cookie 在未綁定裝置上無效

生態系推進

  • Google 與 微軟聯手設計並推動 W3C 標準化
  • Okta 等多家 Web 平臺業者已參與測試
  • 未來計畫:聯邦式身分(SSO)支援、與 mTLS/硬體金鑰整合、多元硬體平臺強化

部署現況

  • Windows Chrome 146:已正式全面部署(2026-04 整合,2026-06 全面開放)
  • macOS Chrome:即將推出

來源文章

相關頁面

  • google — Google公司(開發者與推動者)