---
title: "قفل جدید مرورگر کروم: وقتی هکرها تأیید دومرحله‌ای را هم دور می‌زنند!"
date: 2026-05-30T09:42:39Z
modified: 2026-05-30T09:42:41Z
permalink: "https://nooshdaroo.ir/news-opinion/chrome-device-bound-session-credentials-cookie-theft-protection/"
type: post
status: publish
excerpt: ""
wpid: 12158
categories:
  - خبر و تحلیل
  - ابزارها و افزونه‌ها
tags:
  - کروم
  - گوگل
author:
  - daniyal
  - aliasghar
featured_image: "https://nooshdaroo.ir/wp-content/uploads/2026/05/chrome-session-cookie-protection.webp"
---

تأیید دومرحله‌ای (2FA) هنوز یکی از مهم‌ترین سپرهای امنیتی برای حساب‌های آنلاین است، اما هکرها همیشه دنبال راهی برای دور زدن آن هستند. یکی از خطرناک‌ترین روش‌ها، سرقت «کوکی نشست» (Session Cookie) است؛ یعنی همان چیزی که بعد از ورود موفق، باعث می‌شود سایت شما را به خاطر بسپارد. گوگل حالا در مرورگر کروم قابلیت تازه‌ای اضافه کرده که این نشست را به همان دستگاه کاربر گره می‌زند و سوءاستفاده از کوکی‌های دزدیده‌شده را سخت‌تر می‌کند.

## هکرها چطور تأیید دومرحله‌ای را دور می‌زنند؟

وقتی در مرورگر وارد سایتی می‌شوید، آن سایت یک شناسه منحصربه‌فرد به شما اختصاص می‌دهد که به‌صورت فایلی کوچک (کوکی نشست) روی دستگاهتان ذخیره می‌شود. این فرایند دقیقاً شبیه به گرفتن یک دستبند کاغذی در ورودی یک نمایشگاه است. این دستبند به سایت می‌گوید که شما قبلاً وارد شده‌اید و نیازی نیست در هر بار جابه‌جایی بین صفحات، دوباره رمز عبور یا کد تأیید دومرحله‌ای خود را وارد کنید.

با اینکه این کوکی‌ها موقتی هستند و فقط باید روی دستگاه اصلی شما بمانند، اما هدفی جذاب برای هکرها به‌ شمار می‌روند. اگر کسی بتواند کوکی نشست شما را بدزدد (همان دستبند کاغذی)، می‌تواند خودش را به‌جای شما جا بزند و تأیید دومرحله‌ای را دور بزند. نگهبانِ سایت متوجه دزدی نمی‌شود؛ فقط دستبند را می‌بیند و اجازه ورود می‌دهد.

  [ ![](https://nooshdaroo.ir/wp-content/uploads/2026/05/nooshdaroo_69fc643cc1548.webp) ](https://nooshdaroo.ir/news-opinion/voidstealer-steals-chrome-session-cookies/) 

 

#####  [روش تازه برای سرقت اطلاعات کروم: بدافزار VoidStealer از سد امنیتی گوگل عبور کرد](https://nooshdaroo.ir/news-opinion/voidstealer-steals-chrome-session-cookies/) 

 

 [خبر و تحلیل](https://nooshdaroo.ir/news-opinion/) 

  

##  راهکار جدید کروم برای رفع این خطر چیست؟

گوگل در جدیدترین نسخه مرورگر کروم، ویژگی جدیدی به نام «اعتبارنامه نشست متصل به دستگاه» (DBSC) را اضافه کرده است. وظیفه این سیستم، محافظت از همان دستبند ورودی شماست. از این پس کروم برای نشست، یک جفت کلید می‌سازد و کلید خصوصی را در تراشه‌های امنیتی سخت‌افزاری دستگاه شما (مثل TPM در ویندوز یا Secure Enclave در مک) رمزنگاری و ذخیره می‌کند؛ سایت برای تمدید نشست از مرورگر می‌خواهد ثابت کند هنوز همان کلید را دارد.

به زبان ساده، سایت فقط به «کوکی» اعتماد نمی‌کند؛ از مرورگر هم می‌خواهد ثابت کند این نشست هنوز روی همان دستگاه اصلی در حال استفاده است. به همین دلیل، اگر کوکی نشست دزدیده شود، مهاجم برای استفاده از آن روی دستگاه دیگر با مانع جدی‌تری روبه‌رو می‌شود.

![نوشدارو پلاس](https://nooshdaroo.ir/wp-content/themes/nooshdaroo/assets/images/nooshdaroo-plus.png)

##### نوشدارو پلاس



این قابلیت یک لایه دفاعی مهم است، اما امنیت صددرصدی نیست. DBSC خطر سوءاستفاده از کوکی‌های دزدیده‌شده را کمتر می‌کند، نه اینکه همه حمله‌ها را غیرممکن کند. هنوز باید تأیید دومرحله‌ای را فعال نگه دارید، از نصب افزونه‌ها و فایل‌های ناشناس خودداری کنید و مرورگر و سیستم‌عامل را به‌روز نگه دارید.





## چطور از این قابلیت استفاده کنیم؟

طبق راهنمای گوگل، برای استفاده از این قابلیت به کروم نسخه ۱۴۶ به بعد در ویندوز و نسخه ۱۴۸ به بعد در مک نیاز است؛ همچنین دستگاه باید قابلیت امنیتی سخت‌افزاری مناسب، مثل TPM در ویندوز یا Secure Enclave در مک، داشته باشد.
برای اطمینان از فعال بودن آن، کافی است مرورگر خود را به‌روزرسانی کنید. روی منوی سه‌نقطه در بالا سمت راست کروم کلیک کنید، به مسیر Help > About Google Chrome بروید و اجازه دهید کروم آخرین نسخه را جستجو کند. در صورت وجود نسخه جدید، روی گزینه Relaunch کلیک کنید تا نصب نهایی شود.



##### نکته

برای استفاده از این قابلیت، مهم‌ترین کار به‌روزرسانی کروم است؛ اما فعال شدن آن به نسخه مرورگر، سخت‌افزار امنیتی دستگاه و پشتیبانی سرویس مورد استفاده هم بستگی دارد.