## Chrome Fortalece a Segurança de Sessão com DBSC **O Google** está reforçando a segurança do **Chrome** com a introdução das Credenciais de Sessão Vinculadas ao Dispositivo (DBSC) na versão 146, inicialmente para usuários do Windows. Essa melhoria visa neutralizar a ameaça de malware infostealer, impedindo a exploração de cookies de sessão roubados. O suporte para macOS está previsto para um lançamento futuro.  O sistema DBSC funciona estabelecendo um link criptográfico entre a sessão de um usuário e o hardware do seu dispositivo, aproveitando o Trusted Platform Module (TPM) no Windows e, no futuro, o Secure Enclave no macOS. Isso garante que as chaves privadas necessárias para descriptografar dados de sessão sensíveis permaneçam seguras dentro do hardware. Como as chaves públicas/privadas exclusivas para criptografar e descriptografar dados sensíveis são geradas pelo chip de segurança, elas não podem ser exportadas da máquina. Isso impede que o atacante use dados de sessão roubados porque a chave privada exclusiva que os protege não pode ser exportada da máquina. "A emissão de novos cookies de sessão de curta duração depende do **Chrome** provar a posse da chave privada correspondente ao servidor", afirmou o **Google** em seu anúncio. Sem essa chave, qualquer cookie de sessão exfiltrado se torna imediatamente inválido. ### Como o DBSC Funciona Um cookie de sessão atua como um token de autenticação de longa duração, criado no lado do servidor com base no nome de usuário e senha. Os atacantes frequentemente visam esses cookies usando malware especializado, como o **LummaC2**, para contornar métodos de autenticação tradicionais.  *Interação navegador-servidor no contexto do protocolo DBSC fonte: Google* "Crucialmente, uma vez que malware sofisticado tenha obtido acesso a uma máquina, ele pode ler os arquivos locais e a memória onde os navegadores armazenam cookies de autenticação. Como resultado, não há uma maneira confiável de impedir a exfiltração de cookies usando apenas software em qualquer sistema operacional", explicou o **Google**. O protocolo DBSC foi projetado com a privacidade em mente. Cada sessão é suportada por uma chave distinta, impedindo que sites correlacionem a atividade do usuário entre sessões ou sites. O protocolo minimiza a troca de informações, exigindo apenas a chave pública por sessão para prova de posse e evitando o vazamento de identificadores de dispositivo. ### Colaboração da Indústria Em testes com plataformas como a **Okta**, o **Google** observou uma redução significativa nos incidentes de roubo de sessão. O **Google** colaborou com a **Microsoft** para desenvolver o DBSC como um padrão web aberto, incorporando feedback da comunidade de segurança web. Os sites podem implementar o DBSC adicionando endpoints dedicados de registro e atualização aos seus backends, garantindo a compatibilidade com frontends existentes. Os desenvolvedores podem encontrar detalhes de implementação no guia e nas especificações do **Google** no site do World Wide Web Consortium (W3C), com um explicador disponível no GitHub.