تاریخ انتشار: 17 مارس 2025
سال گذشته، بهبود امنیت کوکیها و اعتبارنامهها را با رمزگذاری App-Bound برای Chrome اعلام کردیم.
در حالی که مشاهده کردیم که این محافظت جدید منجر به کاهش قابل توجهی در این نوع سرقت حساب می شود، مهاجمان همچنان انگیزه زیادی برای انطباق با این دفاع های جدید دارند و ما همچنان به نظارت بر تکنیک ها و رفتارهای مورد استفاده توسط دزدهای اطلاعاتی ادامه می دهیم.
از زمانی که رمزگذاری App-Bound فعال شد، شاهد افزایش مهاجمانی بودیم که از اشکالزدایی از راه دور Chrome برای استخراج کوکیها استفاده میکردند. استفاده از این روش برای سرقت کوکیهای کروم از سال 2018 مورد بحث قرار گرفته است. با این حال، پستهای وبلاگ اخیر در مورد استفاده از پورت اشکالزدایی راه دور و ابزارهایی برای استخراج کوکیها از دادههای داخلی ما پشتیبانی میکنند که محبوبیت فزاینده آن را نشان میدهد. ما متعهد به ایجاد اختلال در این تکنیکها و محدود کردن بیشتر مهاجمان هستیم—افزایش هزینه این حملات و محافظت از امنیت کاربران Chrome.
بنابراین، از Chrome 136 ما در حال ایجاد تغییراتی در رفتار --remote-debugging-port و --remote-debugging-pipe هستیم. در صورت تلاش برای اشکال زدایی فهرست راهنمای داده پیش فرض Chrome، این سوئیچ ها دیگر مورد احترام قرار نخواهند گرفت. این سوئیچ ها اکنون باید با سوئیچ --user-data-dir همراه شوند تا به یک دایرکتوری غیر استاندارد اشاره کنند. دایرکتوری داده غیراستاندارد از کلید رمزگذاری متفاوتی استفاده میکند به این معنی که دادههای Chrome اکنون در برابر مهاجمان محافظت میشوند.
برای توسعهدهندگانی که نیاز به اشکالزدایی کروم دارند (مثلاً از VSCode)، دستورالعملها قبلاً استفاده از راهنمای دادههای کاربر سفارشی را مشخص میکنند و ما همچنان این رویکرد را برای جداسازی هرگونه اشکالزدایی از هر نمایه واقعی توصیه میکنیم.
برای سناریوهای اتوماسیون مرورگر، توصیه می کنیم از Chrome برای آزمایش استفاده کنید که همچنان به رفتار موجود احترام می گذارد.
لطفاً مشکلات مربوط به این ویژگی امنیتی جدید را به crbug.com ارسال کنید.