目前有不少惡意軟件(尤其是惡意擴展程序)都會竊取瀏覽器保存的 Cookies，其中有一些 Cookies 是已經經過驗證的網站保留的，即用戶登錄賬號后生成的，因此惡意軟件盜取后可以利用 Cookies 直接訪問用戶賬戶而不需要賬號密碼以及可以繞過 2FA 驗證。

實際上這種情況已經持續很多很多年，現在谷歌瀏覽器終于要開始增加新計劃來抵御這種攻擊，原理倒是不復雜：生成的 Cookies 要和本地設備綁定，也就是離開這臺設備后就無法使用了。

Chrome 團隊提議的新功能名為設備綁定會話憑證 (DBSC)，通過設備本地的公鑰 / 私鑰對將身份驗證會話綁定到當前設備，私鑰則可以使用 TPM 可信平臺模塊進行加密保存亦或者使用基于軟件的方法與桌面操作系統一起存儲，因此也難以導出。

谷歌瀏覽器計劃增加Cookies本地設備驗證 避免惡意軟件竊取后直接利用

在沒有私鑰的情況下自然無法解密憑證，因此無論是黑客是想要竊取 Cookies 還是想要利用竊取的 Cookies 進行登錄，難度都會大幅度提升。

值得注意的是此功能還需要 API 支持，這個新的 API 會作為現有 Cookies 功能的替代或增強，在整個會話生命周期中 (即過期前) 驗證私鑰的擁有證明。

每個會話都會由唯一的密鑰支持，并且 DBSC 不允許不同網站將同一個設備不同會話的密鑰關聯起來，避免通過這種方式來追蹤用戶。

谷歌也強調 DBSC 發送到服務器的唯一信息就是每個會話的公鑰，服務器會使用該公鑰來驗證密鑰，不會泄露設備本身的其他信息，例如 IP 地址、操作系統、瀏覽器版本、分辨率、語言之類的 (但網站本身可以通過其他方式收集這些信息)

不過這個功能并不能直接由谷歌瀏覽器完成，實際上這需要操作系統開發商以及網站開發者一起努力，谷歌希望將 DBSC 變成開放的網絡標準，目前 Microsoft Edge 團隊、Okta 以及其他身份驗證提供商都對該標準感興趣。

項目地址：https://github.com/WICG/dbsc