- O Chrome lançou o recurso de segurança Device Bound Session Credentials (DBSC), que impede o uso de cookies roubados para se autenticar em outros dispositivos.
- O DBSC está disponível por padrão no Chrome para Windows e Mac, valendo para usuários pessoais e do Google Workspace.
- O funcionamento vincula as sessões de navegador ao hardware do dispositivo: TPM no Windows e Secure Enclave no Mac, dificultando o uso de cookies em outros aparelhos.
- Mesmo que o malware acesse os cookies, não é possível utilizá-los em dispositivos alheios, reduzindo o risco de roubo de sessão.
- Não há configuração para ligar ou desligar; basta manter o Chrome atualizado para a versão 146 (Windows) ou 148 (Mac) ou superior.
O Chrome passou a incluir uma nova camada de proteção contra o roubo de cookies de navegador. O recurso, chamado Device Bound Session Credentials (DBSC), já está disponível para todos os usuários no Windows e visa impedir que hackers usem cookies roubados para se manterem conectados em dispositivos alheios. A funcionalidade está habilitada por padrão para contas Google Workspace e contas pessoais.
Por meio de um post no blog oficial do Google, a empresa detalha que o DBSC vincula as sessões do navegador ao chip de segurança do dispositivo. No Windows, isso tende a TPM; no Mac, a Secure Enclave. Assim, mesmo que os cookies sejam obtidos, não podem ser utilizados em outros aparelhos.
A Apple e o ecossistema da Chrome para desktop participam dessa proteção ao binding da sessão. O objetivo é reduzir o risco de roubo de sessões após a infecção por malware, tornando mais difícil a exploração de cookies obtidos de forma ilícita.
Funciona apenas com as versões compatíveis do Chrome. Usuários de Windows precisam da versão 146 ou superior, e usuários de Mac, versão 148 ou superior. A atualização ocorre automaticamente, bastando abrir o menu do navegador, acessar Ajuda e Sobre o Google Chrome para iniciar o download.
O DBSC foi desenvolvido pela Google a partir de 2024 para proteger usuários domésticos e corporativos. Em 2025, a função entrou em beta aberto para clientes Google Workspace e, desde então, passou a ser ativada automaticamente, não exigindo ação manual de administradores ou usuários.
Fatos relevantes indicam que o recurso está disponível sem necessidade de habilitar uma opção específica. Ao término da atualização, é recomendado reiniciar o Chrome para concluir a implementação em Windows e Mac.
Entre na conversa da comunidade