最近一项重要的安全更新值得重点关注——2026年4月10日,谷歌正式在Windows版Chrome 146中启用了“设备绑定会话凭据”功能。简单来说,这套机制的核心是利用系统内置的可信平台模块(TPM)这类硬件级安全组件,生成一对无法被导出的非对称密钥。私钥被牢牢锁定在本地设备中,远程攻击手段根本无法获取,更无法复制。
这一改进的效果十分显著:服务端可以通过新接口逐步提升会话安全等级,而前端页面的运作逻辑完全不受影响,兼容性保持良好。Chrome浏览器自动承担密钥管理、数据加密以及会话凭证的周期性更新,底层依然沿用标准的Cookie机制来维持状态。整个流程对开发者透明,但对攻击者而言,会话信息的窃取门槛被大幅抬高。
目前该功能已在Windows版Chrome 146中全面推送,macOS版本预计在未来几周内陆续跟进。顺便说明一下,Cookie本质上仍是服务器写入用户终端的轻量文本数据,用于记录设备状态和浏览行为——这次更新并未改变它的角色,只是给钥匙加了一道硬件锁。
