Chrome 新安全功能上线！绑定 cookie 与安全芯片，防范黑客劫持攻击

ZDNET 核心要点

黑客可窃取浏览器 cookie 假冒用户，Chrome 推出一项安全功能防范此类攻击，该功能将 cookie 与设备自身的安全芯片绑定。

浏览器 cookie 存储登录会话和网站偏好设置，方便用户使用网站。但黑客会劫持这些 cookie 假冒用户。Chrome 正在推出的新安全功能“设备绑定会话凭证”（Device Bound Session Credentials，DBSC）旨在防范此类威胁。

此外，一半网络攻击始于浏览器，这里有 10 条保障安全的重要提示。

谷歌在新博客文章中称，DBSC 现已在 Windows 版 Chrome 中可用，默认对所有谷歌工作空间（Google Workspace）和个人谷歌账户启用，面向消费者和企业 Chrome 用户。

它是如何工作的？

这项安全功能在 PC 和 Mac 上的工作原理如下：

典型的 cookie 劫持攻击中，黑客用特定恶意软件远程窃取浏览器 cookie，提取密码和敏感数据，在自己设备上登录关联账户，无需处理多因素认证代码。

启用 DBSC 后，浏览器会话和 cookie 与计算机内置安全芯片绑定。在大多数 Windows PC 上是可信平台模块（Trusted Platform Module，TPM），在 Mac 上是安全隔离区（Secure Enclave）。即便黑客窃取 cookie，也无法在其他设备使用，因为 cookie 与原计算机绑定。

谷歌在博客文章中解释，DBSC 增强用户登录后账户安全性，将会话 cookie 与用户认证设备绑定。即便设备有恶意软件，也能降低会话被盗用风险，让恶意行为者难利用被盗会话 cookie。

此外，这里有专家测试过的最佳隐私安全浏览器推荐。

谷歌于 2024 年开始开发 DBSC，保护 Chrome 用户免受 cookie 劫持攻击。2025 年为谷歌工作空间客户推出公开测试版。此前企业 IT 管理员需为组织内 Chrome 用户启用保护，现在该功能对企业客户和个人谷歌账户自动启用。

由于功能自动开启，用户无需控制开关或设置，只需确保运行 Windows 版 Chrome 146 或更高版本、Mac 版 Chrome 148 或更高版本。在任一操作系统更新浏览器，点击右上角三点图标，选“帮助”，再选“关于 Google Chrome”，最新版本自动下载，重启浏览器生效。