继2024年4月公布后，Google本周发布Windows版本Chrome 146，引入设备绑定会话凭证（Device Bound Session Credentials，DBSC）技术，防范恶意程序窃取Cookie。下一版本的macOS Chrome也将加入此防护功能。Google同时公布推动DBSC标准化的计划。

用户设备一旦不慎下载恶意程序，可能导致会话窃取（session theft）。恶意程序会从浏览器中提取会话Cookie，或在用户登录新账号时拦截令牌，随后发送至攻击者控制的服务器。由于Cookie的有效期较长，攻击者可借此未经授权访问用户账户，且无需知道密码。被窃取的凭证可能在黑市流通，进一步扩大攻击范围。

像LummaC2这样的窃密程序，其窃取凭证的手法日益精进。一旦恶意程序侵入用户设备，即可从本地文件和内存中读取浏览器存储的认证Cookie。过去，任何操作系统上均无有效的纯软件方案来防范Cookie窃取，只能在事件发生后，依赖一套复杂的启发式分析进行被动检测，而攻击者往往能规避此类检测。DBSC的出现实现了主动防御，使被盗取的Cookie无法用于账户验证。

简单来说，若将Cookie视为访问服务服务器的通行证，问题在于：任何人只要获得该通行证，就能被服务器放行。DBSC为Cookie添加了数字锁，只有最初存储该Cookie的设备，才能在服务器端通过验证。Google推动DBSC的核心在于Chrome浏览器：当用户登录网站时，Chrome会配合Windows设备的TPM芯片（macOS设备则使用Secure Enclave）生成公钥和私钥。公钥存储在网站服务器上，仅信任该特定设备；私钥则加密保存在用户设备的硬件中。Chrome在登录服务器时，必须使用私钥与服务器完成身份验证，确认当前设备即为当初登录的原始设备。

Google的做法是推动DBSC成为行业标准，并构建完整的生态系统。

这一机制涉及设备密钥、浏览器、硬件厂商与行业规范。Google推动DBSC的策略是先在Chrome中落地，并结合自身服务推广，再逐步推动标准化。目前仅Chrome支持该功能。

Google表示，为推动DBSC标准化，除加强产业合作外，未来Chrome版本将陆续新增功能，包括联邦身份支持，实现跨源绑定；高级注册机制，将DBSC会话绑定至现有密钥，如mTLS证书或硬件密钥；以及扩大设备支持，通过软件密钥技术保护无硬件密钥支持的设备（如老旧PC）。