Device Bound Session Credentials (DBSC) adalah fitur baru di Chrome yang dirancang untuk melindungi sesi login pengguna dari pencurian cookie dan pembajakan akun. Fitur ini kini bisa diuji coba lewat Origin Trial di Chrome versi 135.

Latar Belakang

Cookie sangat penting untuk proses login di web, karena memungkinkan pengguna tetap masuk tanpa harus berulang kali mengetikkan kata sandi. Namun, penjahat siber sering mencuri cookie autentikasi dari perangkat yang terinfeksi malware. Karena cookie bisa dipakai siapa saja yang memilikinya, penjahat bisa mengambil alih akun tanpa perlu tahu kata sandi atau kode OTP.

DBSC hadir untuk mengatasi masalah ini dengan mengikat sesi login ke perangkat tertentu. Jadi, walaupun cookie dicuri, cookie tersebut tidak bisa digunakan di perangkat lain.

Cara Kerja

DBSC menambahkan API baru yang memungkinkan server membuat sesi login yang hanya bisa dipakai di perangkat yang sama. Saat sesi dimulai, browser akan membuat sepasang kunci publik dan privat, lalu menyimpan kunci privat dengan aman (misal, di Trusted Platform Module/TPM jika tersedia).

Browser tetap mengeluarkan cookie sesi seperti biasa, tapi cookie ini hanya berlaku sebentar. Selama sesi berjalan, browser akan secara berkala membuktikan bahwa ia masih memegang kunci privat dan memperbarui cookie sesi. Dengan masa aktif cookie yang singkat, pencuri cookie tidak akan bisa memanfaatkannya.

Komponen

• Registrasi Sesi: Saat pengguna login, server meminta sesi yang terikat perangkat lewat header Sec-Session-Registration. Browser membuat kunci baru dan menyimpan kunci privat secara aman. Cookie autentikasi yang berlaku singkat juga dibuat dan dihubungkan dengan kunci ini. Server lalu mencatat kunci publik untuk sesi tersebut.

• Pembaruan Sesi & Bukti Kepemilikan: Ketika cookie hampir habis masa berlakunya, Chrome akan memperbarui sesi. Browser mengirim permintaan ke endpoint refresh yang disediakan server, dan jika perlu, menandatangani tantangan dari server dengan kunci privat. Server memverifikasi tanda tangan ini sebelum mengeluarkan cookie baru.

Salah satu keunggulan metode ini adalah Chrome akan menunda permintaan yang membutuhkan cookie baru sampai cookie berhasil diperbarui, sehingga sesi tetap aman dan stabil.

Contoh Implementasi

Server meminta sesi perangkat seperti ini:

HTTP/1.1 200 OK

Sec-Session-Registration: (ES256);path="/refresh";challenge="12345"

Jika server ingin memverifikasi sesi, ia bisa mengirim request:

HTTP/1.1 401 Unauthorized

Sec-Session-Challenge: "verify-session"

Browser akan membalas dengan:

POST /refresh

Sec-Session-Response: "signed-proof"

Keuntungan DBSC

• Mengurangi risiko pencurian cookie: Cookie yang dicuri tidak bisa dipakai di perangkat lain.

• Lebih aman tanpa mengubah pengalaman pengguna: Berjalan otomatis di belakang layar.

• Cookie sesi lebih singkat dan otomatis diperbarui: Tidak perlu cookie yang berlaku lama.

• Menggunakan standar kriptografi modern: Memanfaatkan penyimpanan aman seperti TPM.

Privasi & Keamanan

• Tidak menambah risiko pelacakan pengguna, karena setiap sesi punya kunci berbeda.

• Tidak membuat jejak perangkat jangka panjang, kecuali pengguna sendiri yang mengizinkan.

• Sesi dan kunci bisa dihapus saat pengguna membersihkan browser.

• Mengikuti aturan cookie yang ada, sehingga tidak menyebabkan kebocoran data lintas situs.

Cara Mencoba

DBSC bisa diuji di Chrome 135 ke atas.

• Untuk tes lokal: aktifkan di chrome://flags#device-bound-session-credentials.

• Untuk tes publik: tambahkan token Origin-Trial ke header situs Anda:Origin-Trial: <your-trial-token>