Google Debuts Device-Bound Session Credentials Against Session Hijacking
9 months ago
- #session-management
- #security
- #cryptography
- 暴躁鸭子的密码学与安全通讯"提供密码学、安全防护、隐私保护、SSL/TLS协议及公钥基础设施的最新动态", "HTTP Cookie被改造用于会话管理后,引发了会话劫持等安全隐患", "通过安全标识(Secure flag)、HttpOnly属性、名称前缀和同源策略(Same-Site)等措施强化Cookie安全", "早期会话劫持利用未加密通信漏洞,Firesheep等工具实现了自动化攻击", "HTTPS与安全Cookie减少了会话劫持,但攻击者转向窃取Cookie的恶意软件(信息窃取程序)", "谷歌推出设备绑定会话凭证(DBSC),利用公钥密码学和可信平台模块(TPM)提升会话安全", "DBSC技术使会话标识符在其他设备上失效,有望彻底终结会话劫持", "第34届Usenix安全研讨会资料开放获取,收录大量密码学相关论文", "暴躁鸭子开设讲师指导课程,教授安全服务器部署与加密Web应用开发"