প্রকাশিত: মার্চ 17, 2025
গত বছর, আমরা Chrome-এর জন্য অ্যাপ-বাউন্ড এনক্রিপশন সহ কুকিজ এবং শংসাপত্রগুলির জন্য উন্নত সুরক্ষা ঘোষণা করেছি৷
যদিও আমরা লক্ষ্য করেছি যে এই নতুন সুরক্ষার ফলে এই ধরণের অ্যাকাউন্ট হাইজ্যাকিং উল্লেখযোগ্যভাবে হ্রাস পেয়েছে, আক্রমণকারীরা এই নতুন প্রতিরক্ষাগুলির সাথে খাপ খাইয়ে নিতে খুব অনুপ্রাণিত থাকে এবং আমরা ইনফোস্টেলারদের দ্বারা ব্যবহৃত কৌশল এবং আচরণগুলি পর্যবেক্ষণ করতে থাকি।
যেহেতু অ্যাপ-বাউন্ড এনক্রিপশন সক্ষম করা হয়েছে, আমরা কুকিজ বের করার জন্য Chrome রিমোট ডিবাগিং ব্যবহার করে আক্রমণকারীদের বৃদ্ধি দেখেছি। 2018 সাল থেকে ক্রোম কুকিজ চুরি করার জন্য এই পদ্ধতিটি ব্যবহার করা নিয়ে আলোচনা করা হয়েছে। যাইহোক, সাম্প্রতিক ব্লগ পোস্টগুলি রিমোট ডিবাগিং পোর্টের এই ব্যবহারকে কভার করে , এবং কুকিজ নিষ্কাশন করার সরঞ্জামগুলি আমাদের অভ্যন্তরীণ ডেটাকে এর বর্ধিত জনপ্রিয়তা দেখায়। আমরা এই কৌশলগুলিকে ব্যাহত করতে এবং আক্রমণকারীদের আরও সীমাবদ্ধ করতে প্রতিশ্রুতিবদ্ধ রয়েছি—এই আক্রমণগুলির খরচ বৃদ্ধি এবং Chrome ব্যবহারকারীদের নিরাপত্তা রক্ষা করতে।
অতএব, Chrome 136 থেকে আমরা --remote-debugging-port এবং --remote-debugging-pipe এর আচরণে পরিবর্তন আনছি। ডিফল্ট Chrome ডেটা ডিরেক্টরি ডিবাগ করার চেষ্টা করলে এই সুইচগুলিকে আর সম্মান করা হবে না৷ এই সুইচগুলিকে এখন একটি অ-মানক ডিরেক্টরি নির্দেশ করার জন্য --user-data-dir সুইচের সাথে থাকতে হবে। একটি অ-মানক ডেটা ডিরেক্টরি একটি ভিন্ন এনক্রিপশন কী ব্যবহার করে যার অর্থ Chrome এর ডেটা এখন আক্রমণকারীদের থেকে সুরক্ষিত৷
ডেভেলপারদের জন্য যাদের Chrome ডিবাগ করতে হবে (উদাহরণস্বরূপ, VSCode থেকে), নির্দেশাবলী ইতিমধ্যেই একটি কাস্টম ব্যবহারকারী ডেটা ডির ব্যবহার নির্দিষ্ট করে এবং আমরা যেকোনো বাস্তব প্রোফাইল থেকে যেকোনো ডিবাগিংকে আলাদা করার জন্য এই পদ্ধতির সুপারিশ করতে থাকি।
ব্রাউজার অটোমেশন পরিস্থিতির জন্য, আমরা পরীক্ষার জন্য Chrome ব্যবহার করার পরামর্শ দিই যা বিদ্যমান আচরণকে সম্মান করতে থাকবে।
এই নতুন নিরাপত্তা বৈশিষ্ট্যের সাথে যেকোনো সমস্যা crbug.com- এ ফাইল করুন।