当前大量恶意软件正通过窃取浏览器 Cookie 来劫持登录会话获取网络帐户访问权限,针对该问题谷歌 Chrome 团队正在提议使用“设备绑定会话凭证 (DBSC)”来应对这种情况。方法是“将身份认证会话绑定到设备上”,并使用设备本地的公私钥配对的方式”来对抗 cookie 劫持。通过使用受信平台模块(TPM)或基于软件的方案将私钥存储在操作系统中,从而使得私钥更难被导出。在用户隐私方面,“每个会话都由唯一的密钥支持,并且 DBSC 不允许站点将同一设备上不同会话的密钥关联起来。” DBSC 项目的目标是成为“开放网络标准”,目前已经在 Chrome Beta 中针对一些谷歌帐户进行了测试,谷歌计划在今年年底前开展更大规模的试行。
