תאריך פרסום: 17 במרץ 2025
בשנה שעברה הודענו על שיפור האבטחה של קובצי cookie ופרטי כניסה באמצעות הצפנה לאפליקציה ב-Chrome.
ראינו שההגנה החדשה הזו הביאה לירידה משמעותית בהתקפות מסוג פריצה לחשבון, אבל לתוקפים יש מוטיבציה רבה להתאים את עצמם לשיטות ההגנה החדשות האלה, ואנחנו ממשיכים לעקוב אחרי השיטות וההתנהגויות של גנבי המידע.
מאז שהפעלנו את ההצפנה המאובטחת לאפליקציות, ראינו עלייה במספר התוקפים שמשתמשים בניפוי באגים מרחוק ב-Chrome כדי לחלץ קובצי cookie. כבר בשנת 2018 דיברנו על השימוש בשיטה הזו כדי לגנוב קובצי cookie ב-Chrome. עם זאת, פוסטים בבלוג שפורסמו לאחרונה בנושא השימוש הזה ביציאת ניפוי הבאגים מרחוק וכלים לחילוץ קובצי cookie תומכים בנתונים הפנימיים שלנו שמראים על הפופולריות ההולכת וגדלה של השימוש הזה. אנחנו עדיין מחויבים לשבש את הטכניקות האלה ולהגביל את התוקפים עוד יותר, כדי להגדיל את העלות של ההתקפות האלה ולהגן על האבטחה של משתמשי Chrome.
לכן, החל מגרסה 136 של Chrome אנחנו מבצעים שינויים בהתנהגות של --remote-debugging-port ו---remote-debugging-pipe. אם תנסו לנפות באגים בספריית ברירת המחדל של נתוני Chrome, המערכת לא תעקוב יותר אחרי המתגים האלה. עכשיו צריך להוסיף את המתג --user-data-dir כדי שהמתגים האלה יצביעו על ספרייה לא רגילה. בספריית נתונים לא סטנדרטית נעשה שימוש במפתח הצפנה שונה, כך שהנתונים של Chrome מוגנים עכשיו מפני תוקפים.
למפתחים שצריכים לנפות באגים ב-Chrome (לדוגמה, מ-VSCode), ההוראות כבר מצינות שימוש בספרייה מותאמת אישית של נתוני משתמשים, ואנחנו ממשיכים להמליץ על הגישה הזו כדי לבודד את תהליך ניפוי הבאגים מפרופילים אמיתיים.
בתרחישי אוטומציה בדפדפן, מומלץ להשתמש ב-Chrome for Testing, שימשיך לפעול בהתאם להתנהגות הקיימת.
אם נתקלתם בבעיות בתכונת האבטחה החדשה הזו, תוכלו לדווח עליהן בכתובת crbug.com.