Data publikacji: 17 marca 2025 r.
W zeszłym roku ogłosiliśmy zwiększone bezpieczeństwo plików cookie i danych logowania dzięki szyfrowaniu w aplikacji w Chrome.
Zauważyliśmy, że nowe zabezpieczenia spowodowały znaczne ograniczenie tego typu przejmowania kont, ale hakerzy są bardzo zmotywowani do dostosowywania się do tych nowych zabezpieczeń. Nadal monitorujemy techniki i zachowania wykorzystywane przez osoby kradnące informacje.
Od czasu włączenia szyfrowania związanego z aplikacją obserwujemy wzrost liczby ataków wykorzystujących debugowanie zdalne w Chrome do wyodrębniania plików cookie. Ta metoda kradzieży plików cookie Chrome jest omawiana od 2018 r. Jednak ostatnie posty na blogu dotyczące korzystania z portu zdalnego debugowania oraz narzędzia do wyodrębniania plików cookie potwierdzają nasze wewnętrzne dane wskazujące na wzrost jego popularności. Nadal jesteśmy zaangażowani w powstrzymywanie tych technik i ograniczanie możliwości atakujących, zwiększając koszt tych ataków i chroniąc bezpieczeństwo użytkowników Chrome.
Dlatego od wersji 136 Chrome wprowadzamy zmiany w działaniu funkcji --remote-debugging-port i --remote-debugging-pipe. Te przełączniki nie będą już stosowane, jeśli spróbujesz debugować domyślny katalog danych Chrome. Te przełączniki muszą teraz być poprzedzone przełącznikiem --user-data-dir, aby wskazywały niestandardowy katalog. Niestandardowy katalog danych używa innego klucza szyfrowania, co oznacza, że dane Chrome są teraz chronione przed atakami.
W przypadku programistów, którzy muszą debugować Chrome (np. w VSCode), instrukcje już określają użycie niestandardowego katalogu danych użytkownika. Nadal zalecamy to podejście, aby odizolować debugowanie od rzeczywistych profili.
W przypadku automatyzacji przeglądarki zalecamy używanie Chrome for Testing, która będzie nadal zachowywać się tak samo jak do tej pory.
Wszelkie problemy z tą nową funkcją zabezpieczeń zgłaszaj na stronie crbug.com.