谷歌已修复Chrome中的漏洞，使被盗的Cookie失效。

Google 在 Chrome 146 中加入了 Cookie 会话窃取防护

*新技术——设备绑定会话凭证（DBSC）——通过加密方式将用户的活跃会话与其设备硬件绑定。*

变更内容
平台 | 防护工作原理
---|---
Windows | 使用 Trusted Platform Module (TPM) 模块。芯片生成不可导出的唯一密钥。新的 Cookie 会话仅在 Chrome 确认拥有私钥后才发放。
macOS | 通过 Secure Enclave（类似 TPM）将在未来浏览器更新中加入防护。

工作原理
1. 创建新会话时，Chrome 生成绑定到安全芯片的公钥/私钥对。
2. 服务器仅收到公钥，并用它加密 Cookie 会话。
3. 若要访问数据，客户端必须证明拥有私钥——只能在同一设备上完成。
4. 如果攻击者窃取了 Cookie，但无法访问芯片，则会话立即失效。

重要性
* 会话 Cookie 是身份验证令牌，让用户无需再次输入密码即可登录服务。
* 恶意软件（如 LummaC2）可读取这些文件和浏览器内存以获取数据。
* 软件防护方法并非总有效——若攻击者获得机器访问权，可窃取任何复杂度的 Cookie。

DBSC 通过仅传输公钥而保持设备标识隐藏，最小化数据交换。每个会话使用独立密钥，阻止跨会话跟踪用户活动。

测试与支持
* Google 与多家 Web 平台（包括 Okta）共同测试了早期 DBSC 版本。
* 观察到明显降低的会话窃取率。
* 协议由 Microsoft 合作开发为开放 Web 标准，并获得网络安全专家认可。

网站如何利用
1. 在后端添加使用 DBSC 的会话 Cookie 注册与更新点。
2. 不影响现有前端——兼容性保持不变。

规范可在 W3C 网站获取，详细实施指南见 Google 文档和 GitHub 仓库。

结论：Chrome 146 新功能通过将 Cookie 会话绑定到用户硬件，显著提升了防窃取能力，使被盗令牌几乎立即失效，并整体提高 Web 应用安全性。