Googleは、WebブラウザのChrome向け新機能「Device Bound Session Credentials」(DBSC)について紹介している。Cookieの窃取やセッションの不正使用からユーザーを保護する機能で、Chrome 135からテストが可能となっている。
Cookieは、ユーザーがログインしたままの状態を維持するといった仕様を実現する仕組みだが、所有者を証明せずともアクセスができるため、攻撃者によって認証Cookieが窃取されてしまうと、多要素認証をはじめとしたセキュリティの突破に悪用できる可能性がある。実際に攻撃も増加しているという。
これに対する保護機能として、デバイスに紐付けられた認証済みセッションをサーバーが作成できる新たなAPIとなるDBSCを開発。セッションが開始すると、Chromeは公開鍵と秘密鍵のペアを生成し、これに関連付けられた有効期限の短い認証用Cookieを生成する。秘密鍵はWebブラウザ側のデバイスに搭載されたTPMなどに、公開鍵はサーバー側に保管する。
認証用Cookieの有効期限が切れると、サーバーは公開鍵で署名したチャレンジを送信。Chromeがこれに対して秘密鍵を使って応答することで、デバイスが変わっていないことを証明し、サーバーは新たな認証用Cookieを発行する。これにより、攻撃者がCookieを窃取したとしても、別のデバイスから使うことができなくなる。
同社ではDBSCについて、ユーザーが特別な操作をしなくても利用できるほか、TPMなど標準的な暗号化メカニズムをサポートしている点や、長期保存クッキーへの依存を減らせる点をメリットとして説明。一方で、セッション間の追跡を防止できる、セッションや鍵はユーザー側で削除ができるなど、プライバシーにも配慮した設計だとしている。
Be the first to comment
