Zapobieganie kradzieży plików cookie dzięki wiązaniu sesji

Google Workspace automatycznie zwiększa bezpieczeństwo sesji online użytkowników za pomocą danych uwierzytelniających sesji powiązanych z urządzeniem (DBSC). DBSC ma zapobiegać przechwyceniu sesji, czyli kradzieży plików cookie.

Ten typ cyberataku ma miejsce, gdy niepowołana osoba przejmuje kontrolę nad aktywną sesją przeglądarki użytkownika, kradnąc plik cookie sesji – często za pomocą złośliwego oprogramowania na urządzeniu użytkownika. Plik cookie sesji to mały plik danych zawierający unikalny identyfikator sesji wydany przez witrynę podczas logowania. Przekazując ten skradziony plik cookie, osoba przeprowadzająca atak może podszywać się pod uprawnionego użytkownika i kontynuować uwierzytelnioną sesję.

DBSC wiąże sesję użytkownika z jego konkretnym urządzeniem, utrudniając osobom przeprowadzającym atak używanie skradzionych plików cookie na innych urządzeniach. Tworzy to opartą na sprzęcie granicę bezpieczeństwa, która zmniejsza ryzyko nieautoryzowanego dostępu do kont użytkowników i zapewnia bezpieczeństwo danych wrażliwych. DBSC jest domyślnie włączona na wszystkich kontach Workspace. Aby aktywować tę ochronę, administrator nie musi podejmować żadnych działań.

Wymagania dotyczące korzystania z DBSC

  • Przeglądarka Chrome: wersja 146 lub nowsza w systemie Windows. Więcej informacji znajdziesz w artykule Aktualizowanie Google Chrome.
  • Zabezpieczenia sprzętowe: wymagają funkcji zabezpieczeń sprzętowych, aby bezpiecznie przechowywać klucze kryptograficzne używane do powiązania sesji z urządzeniem. W przypadku Windowsa jest to moduł zaufanej platformy (TPM), który jest standardem na większości urządzeń z systemem Windows 11. Aby potwierdzić możliwości sprzętowe, zapoznaj się z dokumentacją producenta urządzenia.

Jak działa ochrona DBSC

Ochrona DBSC jest stosowana automatycznie, gdy urządzenie i przeglądarka użytkownika spełniają wymagania techniczne. W niektórych przypadkach sesje mogą pozostać niepowiązane. Częste przyczyny:

  • Nieobsługiwane środowisko – problemy z systemem operacyjnym użytkownika, wersją przeglądarki lub zabezpieczeniami sprzętowymi (np. układem TPM w systemie Windows).
  • Istniejące sesje – ochrona DBSC dotyczy tylko nowych sesji. Użytkownicy, którzy byli już zalogowani w momencie włączenia DBSC, muszą się wylogować i zalogować ponownie, aby powiązać sesję.
  • Modyfikacje przeglądarki – niektóre rozszerzenia przeglądarki lub ręczne zmiany w plikach cookie mogą uniemożliwiać prawidłowe działanie DBSC.

Wymuszanie używania DBSC za pomocą dostępu zależnego od kontekstu

Ograniczone do aplikacji internetowych na komputer i nieobowiązujące w przypadku aplikacji mobilnych lub interfejsów API

Możesz dodatkowo zwiększyć bezpieczeństwo, wymagając, żeby użytkownicy mieli DSBC w celu uzyskiwania dostępu do określonych aplikacji Google Workspace. Gdy wymusisz DBSC, użytkownicy będą proszeni o ponowne zalogowanie się, jeśli system wykryje różnicę w stosunku do wcześniej utworzonej sesji powiązanej. Ponowne uwierzytelnianie umożliwia systemowi podjęcie próby nowego, bezpiecznego powiązania. Użytkownicy korzystający z nieobsługiwanych platform nie mają dostępu do chronionej aplikacji. To zabezpieczenie można skonfigurować za pomocą dostępu zależnego od kontekstu.

Aby skonfigurować wymuszanie DBSC:

  1. Aby utworzyć niestandardowy poziom dostępu, postępuj zgodnie z instrukcjami podanymi w artykule na temat zezwalania na dostęp do aplikacji tylko z sesji związanych z DBSC.
  2. Przypisz poziom dostępu do aplikacji, do których dostęp mają mieć tylko sesje związane z DBSC, w trybie monitorowania, aby symulować wymuszania bez blokowania dostępu użytkowników.
  3. Po ocenie wpływu przypisz poziomy dostępu w trybie aktywnym, aby wymusić dostęp tylko z sesji związanych z DBSC. Szczegółowe informacje znajdziesz w artykule Wdrażanie dostępu zależnego od kontekstu.

Wymuszanie DBSC nie jest natychmiastowe, co oznacza, że po zalogowaniu się użytkownika obowiązuje okres prolongaty, zanim zostanie zastosowane wymuszanie. Takie rozwiązanie pozwala rozwiązać potencjalne tymczasowe problemy z wiązaniem. Po powiązaniu system okresowo sprawdza, czy użytkownicy korzystający z określonych aplikacji mają sesje związane DBSC. Każde ponowne uwierzytelnianie spowoduje zresetowanie tego okresu prolongaty, a DBSC nie zostanie wymuszone podczas ponownego uwierzytelniania.

Sprawdzanie ochrony DBSC i problemów z sesjami

Za pomocą narzędzia do analizy zagrożeń możesz monitorować ochronę DBSC i rozwiązywać problemy z przerwami w sesji. Istnieją 2 źródła dzienników aktywności DBSC:

  • Zdarzenia w dzienniku użytkownika – monitoruj powiązanie tokenów dostępu z urządzeniami użytkowników.
  • Zdarzenia z dziennika oceny dostępu – sprawdzanie stanu poszczególnych plików cookie.

Uwaga: zdarzenia w dzienniku DBSC są widoczne tylko na koncie głównym, gdy w tym samym profilu przeglądarki Chrome zalogowanych jest kilka kont użytkowników.

Krok 1. Wyszukaj aktywność DBSC w zdarzeniach z dziennika użytkownika

Użyj tego źródła danych, aby sprawdzić, czy DBSC prawidłowo wiąże klucze z urządzeniami użytkowników i weryfikuje sesje.

Aby sprawdzić, czy DBSC wiąże klucze:

  1. W konsoli administracyjnej Google otwórz Menu  a potem Bezpieczeństwo a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. W sekcji Źródło danych wybierz Zdarzenia z dziennika użytkownika.
  3. Kliknij Dodaj warunek.
  4. W przypadku Atrybut wybierz Zdarzeniea potemRówne jako operatora potemPowiązanie klucza DBSC jako zdarzenie.
  5. Kliknij Szukaj.
  6. W tabeli wyników sprawdź kolumnę Stan zdarzenia:
    • Sukces – ochrona DBSC jest włączona dla użytkownika, a sesja jest chroniona.
    • Nie udało się – powiązanie DBSC nie powiodło się i ochrona nie jest włączona na koncie użytkownika.
    • Brak wyników – w przypadku tej sesji użytkownika nie podjęto próby ochrony za pomocą DBSC.

Aby sprawdzić, czy DBSC weryfikuje sesje:

  1. W konsoli administracyjnej Google otwórz Menu  a potem Bezpieczeństwo a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Dodaj warunek.
  3. W przypadku Atrybutu wybierz Zdarzeniea potemRówne jako operatora potemWeryfikacja klucza DBSC jako zdarzenie.
  4. Kliknij Szukaj.
  5. W tabeli wyników sprawdź kolumnę Stan zdarzenia:
    • Succeeded (Powiodło się) – plik cookie został zweryfikowany.
    • Niepowodzenie – weryfikacja DBSC nie powiodła się. Kliknij stan, aby uzyskać dodatkowe informacje, np. kod błędu.

Jedno niepowodzenie nie musi oznaczać, że użytkownik ma problemy z sesją. Jeśli wystąpi kilka kolejnych błędów weryfikacji, użytkownicy mogą doświadczyć przerw w działaniu usługi.

Krok 2. Sprawdź, czy w zdarzeniach z dziennika oceny dostępu występują odmowy dostępu

Użyj tego źródła danych, aby sprawdzić, czy użytkownikowi odmówiono dostępu do pliku cookie.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Bezpieczeństwo a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. W sekcji Źródło danych wybierz Zdarzenia z dziennika oceny dostępu.
  3. Kliknij Dodaj warunek.
  4. W przypadku Atrybut wybierz Zdarzeniea potemRówne jako operatora potemOdmowa żądania weryfikacji plików cookie jako zdarzenie.
  5. Kliknij Szukaj.
  6. W tabeli wyników kliknij Odrzucono w kolumnie Stan zdarzenia lub link w kolumnie Opis, aby otworzyć panel boczny, w którym możesz sprawdzić te przyczyny niepowodzenia:
    • DBSC_BOUND_COOKIE_MISSING
    • DBSC_BOUND_COOKIE_CORRUPTED
    • DBSC_BOUND_COOKIE_EXPIRED

Zdarzenia z dziennika są pogrupowane według sesji. Aby zarządzać ilością logów, rejestrujemy tylko 1 zdarzenie na godzinę w przypadku każdej unikalnej sesji i każdego typu błędu. W ciągu tej godziny nie są rejestrowane żadne inne próby z tymi samymi szczegółami.

Krok 3. Sprawdź, czy przerwy w sesji są spowodowane przez DBSC

Użytkownicy mogą zostać wylogowani z różnych powodów, np. z powodu limitów długości sesji, zasad określonych przez administratora lub problemów z siecią. Wylogowanie nie zawsze oznacza problem z DBSC, ale określone sekwencje logów mogą pomóc w identyfikowaniu potencjalnych działań związanych z DBSC lub przypadków, w których system zablokował przejętą sesję.

Aby łatwiej rozpoznawać aktywność związaną z DBSC, zwróć uwagę na te kwestie:

  • Sprawdź sekwencje logów – jeśli znajdziesz błędy weryfikacji klucza DBSC, po których następuje odmowa żądania weryfikacji pliku cookie, przyczyną wylogowania użytkownika może być DBSC.
  • Wpływ na użytkownika – aby chronić konto, użytkownik musi zalogować się ponownie, jeśli podczas procesu wiązania wystąpi błąd.


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.