加密初创公司与风险投资
类别
页面
跟着我们
类别
页面
跟着我们
类别
页面
跟着我们
类别
页面
跟着我们
在TradingView上跟踪所有市场  |  获得 TANGEM

谷歌推出DBSC开放测试版,携手Project Zero提升补丁透明度,强化网络安全防护

加密初创公司与风险投资
Google Launches DBSC Open Beta in Chrome and Enhances Patch Transparency via Project Zero

谷歌通过在Chrome浏览器中推出设备绑定会话凭证(DBSC)开放测试版,以及在Project Zero安全团队中引入补丁透明度新政策,大幅提升用户账户安全和漏洞响应速度,助力构建更为坚固的数字安全生态。

随着数字化时代的深入发展,网络安全问题不断成为全球关注的焦点,用户身份认证和漏洞管理的安全性尤为重要。谷歌作为互联网领域的领军企业,持续推动前沿安全技术的研发和应用。2025年7月,谷歌宣布在其Chrome浏览器中推出设备绑定会话凭证(Device Bound Session Credentials,简称DBSC)的开放测试版,旨在有效防范会话cookie被盗用的安全威胁。同时,谷歌Project Zero安全团队推出补丁透明度政策,进一步缩短上游补丁发布与下游应用之间的时间差,推动整个安全生态的协同进步。这些创新举措不仅体现了谷歌在网络安全领域的先进科技实力,也为广大用户和企业用户带来了实质性的安全保障提升。设备绑定会话凭证(DBSC)的核心目标是通过将用户认证会话绑定到特定设备,阻止攻击者在盗取会话cookie后通过其他设备非法访问受害者的账户。

会话cookie是网络服务中用于识别用户身份和保存会话状态的小型数据文件,一旦被窃取,攻击者通常可以绕过认证流程,冒充用户登录账户,造成严重的财产和隐私损失。DBSC的创新之处在于,它不仅加强登录后的安全验证机制,更通过设备绑定原理提高了会话的完整性和安全性。谷歌资深产品管理总监Andy Wen指出,DBSC目前已在Windows平台的Chrome浏览器中开放测试,该功能通过将会话cookie与初次验证的设备进行绑定,确保即使攻击者获得cookie,也难以在其他设备上成功重用,大幅降低了会话劫持攻击的风险。值得注意的是,DBSC不仅适用于普通用户,还广泛服务于谷歌Workspace的企业客户。谷歌同时宣布,基于安全性更高的无密码登录方式——Passkey现已向超过1100万谷歌Workspace客户正式开放,且推出了扩展的管理员控制功能,允许企业审核注册过程并限制Passkey仅能配合物理安全密钥使用,进一步提升身份访问管理的安全防护水平。此外,谷歌计划部署一种名为共享信号框架(Shared Signals Framework,SSF)的接收端闭测试,基于OpenID标准实现安全信号的近实时共享。

这一机制使得“信号发送方”能够迅速向“信号接收方”报告关键安全事件,促进多方联动应对威胁。信号共享不仅涵盖威胁检测和响应,还能扩展至设备和用户信息的交换,显著增强整个网络环境的安全态势和协同防御能力。与此同时,谷歌Project Zero团队引入的补丁透明度试点政策,旨在解决软件生态中长期存在的“上游补丁缺口”问题。补丁缺口指的是安全漏洞修复补丁发布与用户最终应用到其设备之间的时间延迟,而上游补丁缺口则指软件修复补丁在原厂发布后,下游供应链尚未及时整合与推送给终端用户的阶段。为缩小这一间隙,Project Zero采取了在向相关厂商报告漏洞后一周内,公开披露漏洞发现的相关信息。这些信息涵盖漏洞涉及的厂商或开源项目、受到影响的产品、漏洞报告日期,以及即将到期的90天披露期限。

目前,已公布列表包含两项Microsoft Windows的安全漏洞、一项Dolby Unified Decoder的缺陷,以及Google BigWave中的三处问题。Project Zero团队成员Tim Willis强调,此举不仅增加了漏洞处理的透明度,同时为下游厂商提供了额外的信息来源,有助于他们更快监测并响应安全威胁。值得关注的是,谷歌还计划将该透明度原则应用于其与DeepMind联合打造的人工智能漏洞发现代理“大睡眠”(Big Sleep)项目,以进一步提升自动化漏洞检测与修复的效率。值得一提的是,为防止恶意利用,谷歌承诺,在披露期限到期前不会公开任何可能助长攻击者的技术细节、概念验证代码或类似信息,平衡安全披露与风险管理。谷歌此番在会话安全、身份认证和漏洞响应方面的革新,彰显了持续守护用户安全的决心。特别是在当前网络攻击手法日益复杂多变的背景下,DBSC为用户登录保驾护航,通过设备绑定大幅降低会话盗用风险,保障个人和企业账户安全。

同时,Project Zero补丁透明度政策推动漏洞修复过程更为公开和高效,助力软件生态链上下游形成协同反应,缩短补丁覆盖时间,减少安全隐患。这些技术进步不仅提升了谷歌产品和服务的安全性,也为整个全球互联网环境的健康运转贡献了力量。对于广大用户和安全从业者而言,关注和积极采用类似DBSC等先进安全机制,落实严格的身份管理,以及支持并推动安全供应链透明政策,都是构建更可靠数字信任体系的关键。未来,随着人工智能手段在安全领域的深度融合,诸如谷歌与DeepMind联合的“大睡眠”项目将持续推动漏洞自动发现和响应能力的提升,进一步缩减安全隐患。谷歌此次推出的创新安全功能与政策无疑为行业树立了标杆,启示企业和组织积极拥抱新技术,提升自身网络安全防护水平,构建更加安全可信的数字化环境。随着更多用户和企业采用DBSC及联动的安全信号共享机制,网络攻击造成的影响将被有效遏制,让互联网世界更加安全、透明和可信。

加密货币交易所的自动交易 以最优惠的价格买卖您的加密货币 Privatejetfinder.com

下一步
Wiz Uncovers Critical Access Bypass Flaw in AI-Powered Vibe Coding Platform Base44
2025年11月17号 06点51分26秒 安全警钟:Wiz揭露AI驱动的Base44平台关键访问绕过漏洞深入解析

随着AI技术的迅猛发展,基于AI的编码平台已成为企业数字转型的重要工具。然而,安全隐患同样日益凸显。本文深入分析了云安全公司Wiz发现的Base44平台关键访问绕过漏洞,探讨其影响、成因及防护对策,助力企业构筑更加坚固的数字安全防线。
Ubiquiti launches UniFi OS Server for self-hosting
2025年11月17号 06点52分44秒 Ubiquiti推出UniFi OS Server:全面实现自主托管网络解决方案

Ubiquiti全新发布的UniFi OS Server为用户带来了自主托管完整UniFi网络栈的革命性方案,支持多平台安装和多功能集成,满足现代网络管理需求。本文深入解析UniFi OS Server的功能、安装指南及其带来的变革,助力企业和个人用户优化网络架构。
Launch HN: Gecko Security (YC F24) – AI That Finds Vulnerabilities in Code
2025年11月17号 06点53分35秒 Gecko Security:利用人工智能革新代码安全漏洞检测的未来

随着软件开发复杂度日益增加,传统静态代码分析工具面临巨大挑战。Gecko Security利用先进的大型语言模型和编译器级索引技术,突破现有安全检测限制,实现对复杂业务逻辑和多步骤漏洞的精准识别,推动代码安全检测进入智能化新时代。
How to Scan Force Pushed Commits for Secrets
2025年11月17号 06点54分52秒 全面揭示:如何扫描被强制推送隐藏的Git提交以发现秘密信息

探索强制推送操作背后的隐秘风险,了解利用新兴工具如何检测GitHub上因强制推送产生的悬挂提交中的敏感信息,提升代码库安全防护水平。
QUIC for the kernel
2025年11月17号 06点56分12秒 深入解析内核中的QUIC协议: Linux网络新时代的引擎

随着互联网不断演进,QUIC协议作为新一代传输层协议,为解决传统TCP的性能瓶颈和安全隐患提供了全新方案。本文深入探讨了QUIC协议在Linux内核中的最新进展,解析其设计理念、实现挑战及未来前景,为网络技术爱好者和开发者提供全面参考。
Gemini Embedding: Powering RAG and context engineering
2025年11月17号 06点57分19秒 探索Gemini嵌入技术:驱动检索增强生成与上下文工程的革新力量

深入解析Gemini嵌入模型如何助力检索增强生成(RAG)技术和上下文工程,通过提升语义理解、跨语言支持以及高效信息集成,推动人工智能应用进入全新高度,赋能内容智能化与多行业场景创新。
Secure boot certificate rollover is real but probably won't hurt you
2025年11月17号 06点58分21秒 深入解析安全启动证书更新:现实存在但无需过度担忧

安全启动证书更新作为现代计算机安全体系中的重要环节,虽然是真实存在的技术现象,但对普通用户的影响极其有限,本文全面探讨了其背景、作用及对用户的真正影响,帮助读者正确理解并安心应对相关变化。