सुरक्षा को बेहतर बनाने के लिए, रिमोट डीबगिंग स्विच में बदलाव

Will Harris
X

पब्लिश होने की तारीख: 17 मार्च, 2025

पिछले साल, हमने Chrome के लिए ऐप्लिकेशन-बाउंड एन्क्रिप्शन की सुविधा के ज़रिए, कुकी और क्रेडेंशियल की सुरक्षा को बेहतर बनाने का एलान किया था.

हमने देखा है कि इस नई सुरक्षा की वजह से, खाता हाइजैक करने की इस तरह की गतिविधियों में काफ़ी कमी आई है. हालांकि, हमने यह भी देखा है कि हमले करने वाले लोग, इन नई सुरक्षा सुविधाओं को अपनाने के लिए लगातार कोशिश करते रहते हैं. इसलिए, हम जानकारी चुराने वाले लोगों की तकनीकों और व्यवहारों पर नज़र बनाए रखते हैं.

ऐप्लिकेशन-बाउंड एन्क्रिप्शन की सुविधा चालू होने के बाद, हमने देखा है कि कुकी निकालने के लिए, Chrome रिमोट डीबगिंग का इस्तेमाल करने वाले हमलावरों की संख्या में बढ़ोतरी हुई है. Chrome की कुकी चुराने के लिए इस तरीके का इस्तेमाल करने के बारे में 2018 से चर्चा की जा रही है. हालांकि, रिमोट डीबगिंग पोर्ट के इस्तेमाल के बारे में बताने वाली हाल ही की ब्लॉग पोस्ट और कुकी निकालने वाले टूल से पता चलता है कि इसकी लोकप्रियता बढ़ रही है. हम इन तकनीकों को रोकने और हमलावरों को और ज़्यादा मुश्किलों में डालने के लिए लगातार काम कर रहे हैं. हम इन हमलों की लागत बढ़ा रहे हैं और Chrome के उपयोगकर्ताओं की सुरक्षा को बनाए रख रहे हैं.

इसलिए, हम Chrome 136 से --remote-debugging-port और --remote-debugging-pipe के काम करने के तरीके में बदलाव कर रहे हैं. Chrome की डिफ़ॉल्ट डेटा डायरेक्ट्री को डीबग करने की कोशिश करने पर, इन स्विच का इस्तेमाल नहीं किया जाएगा. इन स्विच के साथ अब --user-data-dir स्विच को किसी गैर-स्टैंडर्ड डायरेक्ट्री पर ले जाने की ज़रूरत है. गैर-स्टैंडर्ड डेटा डायरेक्ट्री, एन्क्रिप्शन की एक अलग कुंजी का इस्तेमाल करती है. इसका मतलब है कि Chrome का डेटा अब हमलावरों से सुरक्षित है.

जिन डेवलपर को Chrome को डीबग करना है, उदाहरण के लिए, VSCode से, उनके लिए निर्देशों में पहले से ही, उपयोगकर्ता के कस्टम डेटा डायरेक्ट्री के इस्तेमाल के बारे में बताया गया है. हमारा सुझाव है कि किसी भी असल प्रोफ़ाइल से डीबगिंग को अलग करने के लिए, इस तरीके का इस्तेमाल करें.

ब्राउज़र ऑटोमेशन के उदाहरणों के लिए, हमारा सुझाव है कि Chrome for Testing का इस्तेमाल करें. इससे, मौजूदा व्यवहार को बनाए रखा जा सकेगा.

अगर आपको सुरक्षा से जुड़ी इस नई सुविधा में कोई समस्या आती है, तो कृपया crbug.com पर शिकायत करें.