403 Forbidden: el servidor dice "no" sin dar explicaciones — el cambio clave en DBSC que impedirá definitivamente el secuestro de sesiones
El nuevo estándar DBSC convierte el navegador en un monedero criptográfico para sesiones
En octubre de 2025 comenzó la segunda fase de pruebas de la tecnología Credenciales de sesión vinculadas al dispositivo (DBSC), destinada a proteger las sesiones web contra el robo de cookies y la interceptación de credenciales. La nueva fase durará hasta principios de febrero de 2026 y por primera vez abarca condiciones reales de explotación, incluida la retroalimentación de los desarrolladores que participaron en las pruebas anteriores.
La atención principal se centra en aumentar la estabilidad y la previsibilidad del funcionamiento del mecanismo, además de introducir capacidades adicionales que faciliten la integración en los sistemas de autenticación existentes. Una de las novedades clave es el soporte de sesiones entre sitios: si varios sitios utilizan un servidor de autorización común, DBSC ahora permite compartir claves criptográficas entre ellos sin crear tokens separados para cada dominio.
Para facilitar el análisis se ha añadido un nuevo encabezado HTTP de diagnóstico Secure-Session-Skipped, que aclara las razones por las que no se realizó la solicitud de actualización. Esto simplifica la depuración y ayuda a identificar fallos durante las pruebas.
Además de las mejoras funcionales, se actualizó el propio protocolo. Ahora la mayoría de los encabezados usan el prefijo Secure-Session- en lugar del anterior Sec-Session-, lo que refleja la transición hacia una terminología más estricta. La estructura JWT de los mensajes se ha reestructurado para unificarla entre distintas implementaciones, y en los esquemas de interacción, al invocar challenge, el servidor responde con el estado 403 Forbidden en lugar de 401 Unauthorized. Algunos parámetros, por ejemplo include_site, se han convertido en obligatorios para un funcionamiento correcto.
La segunda prueba se realiza en dispositivos con Windows equipados con un módulo TPM, que proporciona almacenamiento de claves a nivel de hardware. Está prevista la ampliación del soporte a otras plataformas en el futuro. A los desarrolladores que trabajen por primera vez con DBSC se les recomienda utilizar la guía de pruebas manuales: la integración con DevTools todavía no está completada, por lo que el diagnóstico principal se realiza mediante los registros de red y las métricas internas de Chrome.
Para participar es necesario obtener un token individual en la página de registro y añadirlo en la página donde se envía el encabezado Secure-Session-Registration — normalmente en el formulario de inicio de sesión. No se requiere un registro separado para los puntos de actualización ni para la reactivación.
Toda la documentación, incluida la descripción de la especificación, ejemplos de integración y la lista de cambios en Chromium, está publicada en los recursos oficiales del proyecto. El equipo de desarrollo anima a los participantes a compartir resultados y observaciones a través de GitHub para ayudar a conformar la siguiente generación de mecanismos de protección de las sesiones web.