打开网易新闻 查看精彩图片

Chrome 146 更新了一项叫 DBSC 的功能,全名「设备绑定会话凭据」。名字拗口,但逻辑很像银行把 U 盾焊死在 ATM 机上——你的登录钥匙从此和设备物理绑定,想复制?没门。

具体怎么焊?Chrome 调用 Windows 的 TPM 安全芯片生成一对密钥,私钥永远躺在本地,连浏览器自己都导不出来。网站那边只需加两个接口,就能把老会话升级成「设备专属版」,前端几乎无感。

这意味着什么?以前黑客偷 Cookie 像偷了家门钥匙,现在偷走的只是一张写着「此钥匙仅限 XX 小区 XX 号楼使用」的废纸,换个锁孔直接作废。信息窃取攻击的 ROI 断崖式下跌。

目前 Windows 版已实装,Mac 用户还要等几周。有意思的是,谷歌一边在 DBSC 上收紧安全,一边又彻底放弃了禁用第三方 Cookie 的计划——英国监管部门已经表态要采取行动。安全与商业的平衡术,Chrome 玩得越来越像走钢丝。

一位安全研究员在 TechRadar 评论区写道:「终于不用每次被盗号后都去改 20 个网站的密码了。」这大概是普通用户最能感知的价值。