Zapobieganie kradzieży plików cookie dzięki wiązaniu sesji

Google Workspace automatycznie zwiększa bezpieczeństwo sesji online użytkowników, korzystając z danych uwierzytelniających sesji powiązanych z urządzeniem (DBSC). DBSC ma zapobiegać przechwyceniu sesji, czyli kradzieży plików cookie.

Ten typ cyberataku ma miejsce, gdy niepowołana osoba przejmuje kontrolę nad aktywną sesją przeglądarki użytkownika, kradnąc plik cookie sesji – często za pomocą złośliwego oprogramowania na urządzeniu użytkownika. Plik cookie sesji to mały plik danych zawierający unikalny identyfikator sesji wydany przez witrynę podczas logowania. Przekazując ten skradziony plik cookie, osoba przeprowadzająca atak może podszywać się pod uprawnionego użytkownika i kontynuować uwierzytelnioną sesję.

DBSC działa przez powiązanie sesji użytkownika z jego konkretnym urządzeniem, co utrudnia atakującym używanie skradzionych plików cookie na innych urządzeniach. Tworzy to granicę bezpieczeństwa opartą na sprzęcie, która zmniejsza ryzyko nieautoryzowanego dostępu do kont użytkowników i chroni dane wrażliwe. DBSC jest domyślnie włączone na wszystkich kontach Workspace. Aby aktywować tę ochronę, administrator nie musi nic robić.

Wymagania dotyczące korzystania z DBSC

  • Przeglądarka Chrome: wersja 146 lub nowsza w przypadku systemu Windows oraz wersja 148 lub nowsza w przypadku systemu macOS. Więcej informacji znajdziesz w artykule Aktualizowanie Google Chrome.
  • Zabezpieczenia sprzętowe: wymagają funkcji zabezpieczeń sprzętowych do bezpiecznego przechowywania kluczy kryptograficznych używanych do powiązania sesji z urządzeniem. W przypadku systemu Windows jest to moduł zaufanej platformy (TPM), który jest standardem w większości urządzeń z systemem Windows 11. W przypadku systemu macOS jest to Secure Enclave (dostępny na większości najnowszych laptopów Mac). Aby potwierdzić możliwości sprzętowe, zapoznaj się z dokumentacją producenta urządzenia.

Jak stosowana jest ochrona DBSC

Ochrona DBSC jest stosowana automatycznie, gdy urządzenie i przeglądarka użytkownika spełniają wymagane wymagania techniczne. W niektórych przypadkach sesje mogą pozostać niepowiązane. Częste przyczyny:

  • Nieobsługiwane środowisko – problemy z systemem operacyjnym użytkownika, wersją przeglądarki lub zabezpieczeniami sprzętowymi (np. modułem TPM w systemie Windows).
  • Istniejące sesje – ochrona DBSC dotyczy tylko nowych sesji. Użytkownicy, którzy byli już zalogowani, gdy włączono DBSC, muszą się wylogować i zalogować ponownie, aby powiązać swoją sesję.
  • Modyfikacje przeglądarki – niektóre rozszerzenia przeglądarki lub ręczne zmiany plików cookie mogą uniemożliwić prawidłowe działanie DBSC.

Wymuszanie używania DBSC za pomocą dostępu zależnego od kontekstu

Ograniczone do aplikacji internetowych na komputer i nieobowiązujące w przypadku aplikacji mobilnych lub interfejsów API

Możesz dodatkowo zwiększyć bezpieczeństwo, wymagając, żeby użytkownicy mieli DBSC w celu uzyskiwania dostępu do określonych aplikacji Google Workspace. Gdy wymuszasz używanie DBSC, użytkownicy są proszeni o ponowne zalogowanie się, jeśli system wykryje różnicę w stosunku do wcześniej ustanowionej sesji powiązanej. Ponowne uwierzytelnianie umożliwia systemowi podjęcie próby nowego, bezpiecznego powiązania. Użytkownicy na nieobsługiwanych platformach nie mają dostępu do chronionej aplikacji. To zabezpieczenie można skonfigurować za pomocą dostępu zależnego od kontekstu.

Aby skonfigurować wymuszanie DBSC:

  1. Aby utworzyć niestandardowy poziom dostępu, postępuj zgodnie z instrukcjami podanymi w artykule na temat zezwalania na dostęp do aplikacji tylko z sesji związanych z DBSC.
  2. Przypisz poziom dostępu do aplikacji, do których dostęp mają mieć tylko sesje związane z DBSC, w trybie monitorowania , aby symulować wymuszania bez blokowania dostępu użytkowników.
  3. Po ocenie wpływu przypisz poziomy dostępu w trybie aktywnym, aby wymuszać dostęp tylko z sesji związanych z DBSC. Więcej informacji znajdziesz w artykule Wdrażanie dostępu zależnego od kontekstu.

Wymuszanie DBSC nie jest natychmiastowe, co oznacza, że po zalogowaniu się użytkownika obowiązuje okres prolongaty, zanim zostanie zastosowane wymuszanie. Takie rozwiązanie pozwala rozwiązać potencjalne tymczasowe problemy z wiązaniem. Po powiązaniu system okresowo sprawdza, czy użytkownicy korzystający z określonych aplikacji mają sesje związane DBSC. Każde ponowne uwierzytelnianie spowoduje zresetowanie tego okresu prolongaty, a DBSC nie zostanie wymuszone podczas ponownego uwierzytelniania.

Analizowanie problemów z ochroną DBSC i sesjami

Za pomocą narzędzia do analizy zagrożeń możesz monitorować ochronę DBSC i rozwiązywać problemy z przerwami w sesjach. Istnieją 2 źródła dzienników aktywności DBSC:

  • Zdarzenia w dzienniku użytkownika – monitorowanie powiązania tokenów dostępu z urządzeniami użytkowników.
  • Zdarzenia z dziennika oceny dostępu – sprawdzanie stanu określonych plików cookie.

Uwaga: zdarzenia z dziennika DBSC są widoczne tylko na koncie głównym, gdy na tym samym profilu przeglądarki Chrome zalogowanych jest kilka kont użytkowników.

Krok 1. Wyszukaj aktywność DBSC w zdarzeniach w dzienniku użytkownika

Użyj tego źródła danych, aby sprawdzić, czy DBSC prawidłowo wiąże klucze z urządzeniami użytkowników i weryfikuje sesje.

Aby sprawdzić, czy DBSC wiąże klucze:

  1. W konsoli administracyjnej Google otwórz Menu a potem Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. W sekcji Źródło danych wybierz Zdarzenia w dzienniku użytkownika.
  3. Kliknij Dodaj warunek.
  4. W sekcji Atrybut wybierz Zdarzeniea potem jako operator Równea potem jako zdarzenie Powiązanie klucza DBSC.
  5. Kliknij Szukaj.
  6. W tabeli wyników sprawdź kolumnę Stan zdarzenia:
    • Succeeded (Powiodło się) – ochrona DBSC jest włączona dla użytkownika, a sesja jest chroniona.
    • Failed (Nie udało się) – powiązanie DBSC nie powiodło się, a ochrona nie jest włączona dla użytkownika.
    • No results (Brak wyników) – ochrona DBSC nie została zastosowana w przypadku tej sesji użytkownika.

Aby sprawdzić, czy DBSC weryfikuje sesje:

  1. W konsoli administracyjnej Google otwórz Menu a potem Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Dodaj warunek.
  3. W sekcji Atrybut wybierz Zdarzeniea potem jako operator Równea potem jako zdarzenie Weryfikacja klucza DBSC.
  4. Kliknij Szukaj.
  5. W tabeli wyników sprawdź kolumnę Stan zdarzenia:
    • Succeeded (Powiodło się) – plik cookie został zweryfikowany.
    • Nie udało się – weryfikacja DBSC nie powiodła się. Kliknij stan aby uzyskać dodatkowe informacje, np. kod błędu.

Pojedynczy błąd nie musi oznaczać, że użytkownik ma problemy z sesją z przerwami. Użytkownicy mogą mieć problemy, jeśli wystąpi kilka kolejnych błędów weryfikacji.

Krok 2. Sprawdź, czy w zdarzeniach z dziennika oceny dostępu nie ma odmów dostępu

Użyj tego źródła danych, aby sprawdzić, czy odmówiono dostępu do pliku cookie użytkownika.

  1. W konsoli administracyjnej Google otwórz Menu a potem Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. W sekcji Źródło danych wybierz Zdarzenia z dziennika oceny dostępu.
  3. Kliknij Dodaj warunek.
  4. W sekcji Atrybut wybierz Zdarzeniea potem jako operator Równea potem jako zdarzenie Odmowa żądania weryfikacji pliku cookie.
  5. Kliknij Szukaj.
  6. W tabeli wyników kliknij Odmowa w kolumnie Stan zdarzenia lub link w kolumnie Opis , aby otworzyć panel boczny, w którym możesz sprawdzić te przyczyny niepowodzenia:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Zdarzenia z dziennika są grupowane według sesji. Aby zarządzać liczbą dzienników, na każdą unikalną sesję i typ błędu rejestrowane jest tylko 1 zdarzenie na godzinę. W ciągu tej godziny nie są rejestrowane żadne inne próby z tymi samymi szczegółami.

Krok 3. Sprawdź, czy przerwy w sesjach są spowodowane przez DBSC

Użytkownicy mogą zostać wylogowani z różnych powodów, np. z powodu limitów długości sesji zasad określonych przez administratora lub problemów z siecią. Wylogowanie nie zawsze oznacza problem z DBSC, ale konkretne sekwencje dzienników mogą pomóc w zidentyfikowaniu potencjalnej aktywności związanej z DBSC lub przypadków, w których system zablokował przejętą sesję.

Aby zidentyfikować aktywność związaną z DBSC, skorzystaj z tych wskazówek:

  • Sprawdź sekwencje dzienników – jeśli znajdziesz błędy weryfikacji klucza DBSC, po których nastąpi odmowa żądania weryfikacji pliku cookie, przyczyną wylogowania użytkownika może być DBSC.
  • Sprawdź wpływ na użytkownika – aby chronić konto, użytkownik musi się zalogować ponownie, jeśli podczas procesu wiązania wystąpi błąd.


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.