Chrome включил защиту от кражи сессий для аккаунтов Google

Google начала разворачивать в Chrome на Windows функцию Device Bound Session Credentials, которая защищает аккаунты Google от кражи сессий и привязывает веб-сессию к конкретному устройству. Обновление уже доступно пользователям Google Workspace, включая подписку Individual, а также владельцам личных аккаунтов Google. Функция включается по умолчанию и не требует ручной настройки.

Речь идет о защите от одной из самых практичных схем взлома учетных записей. После входа на сайт браузер хранит cookie сессии, чтобы не запрашивать пароль на каждой странице. Если вредоносное ПО крадет такой cookie-файл, злоумышленник может войти в аккаунт без пароля и нередко в обход двухфакторной аутентификации.

DBSC меняет именно этот сценарий. Chrome связывает сессионные учетные данные с устройством, на котором они были созданы, поэтому украденный cookie вне исходного ПК становится бесполезным. Для пользователя это почти незаметное обновление, но для операторов инфостилеров это лишняя проблема, а для ИТ-администраторов еще один слой защиты без обучения сотрудников.

Технология не выглядит экспериментом одного вендора. Спецификация Device Bound Session Credentials обсуждается в W3C уже несколько лет, а Microsoft ранее начала внедрять тот же подход в Edge. На фоне роста краж браузерных сессий это логичный сдвиг: многие современные атаки строятся не на подборе пароля, а на выносе уже авторизованного состояния из браузера.

Для Google это еще и масштабная площадка для внедрения. По данным Statcounter, Chrome в мае 2026 года удерживает более двух третей мирового рынка браузеров для ПК и мобильных устройств, поэтому даже точечное включение новой модели аутентификации быстро становится отраслевым ориентиром. Следующий вопрос в этой истории не про сам Chrome, а про сайты и сервисы, которые должны начать полноценно использовать новую схему на своей стороне.