デバイスバインドされたセッションを使用したクッキー盗難対策

オンラインの利便性にとって極めて重要なクッキーは、盗難に対して脆弱であり、攻撃者がアカウントにアクセスできてしまいます。クッキーを盗むマルウェアはソーシャルエンジニアリングを使用して、デバイスに侵入し、2 段階認証とアンチウイルス検出を回避する認証クッキーを抜き取ります。 この問題に対処するために、デバイスバインドセッション資格情報（DBSC）が、認証セッションをデバイスに結び付ける新しい Web 機能として開発されています。これにより、盗まれたクッキーは無価値となります。DBSC により、攻撃者はローカルで実行せざるを得なくなるため、オンデバイス検出とクリーンアップが強化されます。 DBSC は、デバイスに安全に保存された公開鍵/秘密鍵のペアを使用してセッションを確立し、セッションの有効期間全体で所有権の証明を検証します。 DBSC は、セッションの鮮度を維持し、既存のクッキーベースのソリューションをサポートするために、帯域外のクッキーのリフレッシュ用の専用エンドポイントを使用します。 DBSC は、同じデバイス上の異なるセッションからキーが関連付けられないようにすることでユーザーのプライバシーを優先しており、ユーザーはいつでもキーを削除できます。 サーバーに送信される唯一の情報は、セッションごとの公開鍵であり、鍵の所有権の証明として認証されます。 DBSC はサードパーティクッキーの段階的廃止と一致しており、そのようなシナリオでは無効になります。 Google は一部の Google アカウントユーザー向けに DBSC を試用しており、セキュリティを強化しています。 DBSC は、ユーザーをクッキーの盗難から保護しようとするサーバープロバイダー、ID プロバイダー、ブラウザの関心を集めています。開発プロセスはオープンで共同で行われており、更新情報とタイムラインは GitHub でご覧いただけます。