기기 바운드 세션을 사용하여 쿠키 도난 방지

온라인 편의성에 필수적인 쿠키는 공격자가 계정에 접근할 수 있게 하는 도난의 위험에도 취약합니다. 쿠키 도난 맬웨어는 소셜 엔지니어링을 사용하여 기기에 침투하고 두 단계 인증 및 안티바이러스 감지를 우회하는 인증 쿠키를 빼냅니다. 이 문제를 해결하기 위해 기기 바운드 세션 자격 증명(DBSC)이 새 웹 기능으로 개발되고 있으며, 이는 인증 세션을 기기에 바인딩하여 도난당한 쿠키를 쓸모없게 만듭니다. DBSC는 공격자를 로컬에서 행동하게 만들어 기기에서 감지하고 정리를 강화합니다. DBSC는 기기에 안전하게 저장된 공개/비공개 키 쌍을 사용하여 세션을 설정하고, 세션의 전체 수명 동안 소유 증명을 확인합니다. 세션을 신선하게 유지하고 기존의 쿠키 기반 솔루션을 지원하기 위해 DBSC는 밴드 외부 쿠키 새로 고침을 위한 전용 엔드포인트를 사용합니다. DBSC는 동일한 기기에서 다른 세션의 키가 연관되지 않도록 하여 사용자의 프라이버시를 우선시하며, 사용자는 언제든지 키를 삭제할 수 있습니다. 서버로 전송되는 유일한 정보는 키 소유 증명을 인증하는 세션별 공개 키입니다. DBSC는 서드파티 쿠키의 단계적 폐지를 따르며, 해당 시나리오에서는 비활성화됩니다. Google은 일부 Google 계정 사용자를 대상으로 DBSC를 파일럿 실시하여 보안을 강화합니다. DBSC는 사용자를 쿠키 도난으로부터 보호하고자 하는 서버 공급자, ID 공급자, 브라우저의 관심을 끌고 있습니다. 개발 프로세스는 개방적이고 협력적이며, GitHub에서 업데이트와 타임라인을 확인할 수 있습니다.