Google đã khắc phục lỗ hổng trong Chrome, khiến cookie bị đánh cắp trở nên không hiệu quả

Google đã bổ sung bảo vệ chống trộm cookie‑session trong Chrome 146

* Công nghệ mới – Device Bound Session Credentials (DBSC) – liên kết mật mã các phiên hoạt động của người dùng với phần cứng thiết bị của họ.*

Những gì thay đổi
Nền tảng | Cách bảo vệ hoạt động
---|---
Windows | Sử dụng mô-đun Trusted Platform Module (TPM). Chip tạo ra các khóa duy nhất không thể xuất khẩu. Cookie‑session mới chỉ được cấp sau khi Chrome xác nhận quyền sở hữu khóa riêng.
macOS | Bảo vệ sẽ được thêm vào một trong những bản cập nhật browser sắp tới thông qua Secure Enclave – tương đương TPM.

Cách thức hoạt động
1. Khi tạo phiên mới, Chrome sinh ra cặp khóa công khai/riêng liên kết với chip bảo mật.
2. Máy chủ chỉ nhận khóa công khai và dùng nó để mã hóa cookie‑session.
3. Để truy cập dữ liệu, client phải chứng minh quyền sở hữu khóa riêng – điều này chỉ có thể trên cùng một thiết bị.
4. Nếu kẻ tấn công lấy được cookie nhưng không có chip, phiên ngay lập tức trở nên vô hiệu.

Tại sao quan trọng
* Cookie phiên là token xác thực cho phép người dùng truy cập dịch vụ mà không cần nhập lại mật khẩu.
* Phần mềm độc hại (infostealer) như LummaC2 đọc các file và bộ nhớ trình duyệt để trộm dữ liệu.
* Các biện pháp bảo vệ phần mềm không luôn hiệu quả – nếu kẻ tấn công có quyền truy cập máy, họ có thể lấy được cookie bất kỳ độ phức tạp nào.

DBSC giảm thiểu trao đổi dữ liệu: chỉ khóa công khai được gửi tới máy chủ, còn ID thiết bị vẫn ẩn. Mỗi phiên được bảo vệ bởi một khóa riêng biệt, ngăn chặn việc theo dõi hoạt động của người dùng giữa các phiên khác nhau.

Kiểm tra và hỗ trợ
* Google đã thử nghiệm phiên bản sớm của DBSC cùng với nhiều nền tảng web (bao gồm Okta).
* Đã ghi nhận giảm đáng kể số lần trộm session.
* Giao thức được phát triển hợp tác với Microsoft như một tiêu chuẩn web mở và được phê duyệt bởi các chuyên gia bảo mật web.

Cách các trang web có thể tận dụng
1. Thêm điểm đăng ký và cập nhật cookie phiên sử dụng DBSC vào backend của mình.
2. Điều này sẽ không ảnh hưởng đến frontend hiện tại – tính tương thích vẫn được giữ lại.

Các tài liệu kỹ thuật có sẵn trên trang W3C, và hướng dẫn triển khai chi tiết có thể tìm thấy trong tài liệu Google và kho lưu trữ GitHub.

Kết luận: Tính năng mới của Chrome 146 cung cấp bảo vệ đáng tin cậy hơn chống trộm cookie‑session bằng cách liên kết chúng với phần cứng người dùng. Điều này làm cho token bị đánh cắp trở nên vô dụng ngay lập tức và nâng cao an ninh tổng thể của các ứng dụng web.