تاريخ النشر: 17 آذار (مارس) 2025
في العام الماضي، أعلنّا عن تحسين أمان ملفات تعريف الارتباط وبيانات الاعتماد باستخدام التشفير المرتبط بالتطبيق في Chrome.
على الرغم من أنّنا لاحظنا أنّ هذه الحماية الجديدة أدّت إلى انخفاض كبير في هذا النوع من عمليات الاستيلاء على الحسابات، لا يزال المهاجمون متحمّسين جدًا للتكيّف مع هذه الدفاعات الجديدة، وسنواصل مراقبة الأساليب والسلوكيات التي يستخدمها مختبِرو سرقة المعلومات.
منذ تفعيل ميزة "التشفير المرتبط بالتطبيق"، لاحظنا زيادة في عدد المهاجمين الذين يستخدمون ميزة debugging عن بُعد في Chrome لاستخراج ملفات تعريف الارتباط. تمّت مناقشة استخدام هذه الطريقة لسرقة ملفات تعريف الارتباط في Chrome منذ عام 2018. ومع ذلك، تشير مشاركات المدونات الأخيرة التي تتناول استخدام منفذ تصحيح الأخطاء عن بُعد والأدوات لاستخراج ملفات تعريف الارتباط إلى البيانات الداخلية التي تُظهر زيادة شعبية هذا المنفذ. ما زلنا ملتزمين بإيقاف هذه الأساليب، وفرض قيود إضافية على المهاجمين، ما يؤدي إلى زيادة تكلفة هذه الهجمات وحماية أمان مستخدمي Chrome.
لذلك، سنُجري تغييرات على سلوك
--remote-debugging-port و--remote-debugging-pipe اعتبارًا من الإصدار 136 من Chrome. لن يتم الالتزام بهذه المفاتيح
في حال محاولة تصحيح أخطاء ملف Chrome directory
التلقائي للبيانات. يجب أن تكون مفاتيح التبديل هذه مصحوبة الآن بمفتاح التبديل --user-data-dir
للإشارة إلى دليل غير عادي. يستخدم دليل البيانات غير العادي
مفتاح تشفير مختلفًا، ما يعني أنّ بيانات Chrome محمية الآن من
المهاجمين.
بالنسبة إلى المطوّرين الذين يحتاجون إلى تصحيح أخطاء Chrome (على سبيل المثال، من VSCode)، تحدد التعليمات استخدام دليل مخصّص لبيانات المستخدمين، ونحن نواصل اقتراح هذا النهج لمحاولة عزل أي تصحيح أخطاء عن أي ملفات شخصية حقيقية.
بالنسبة إلى سيناريوهات التشغيل الآلي للمتصفّح، ننصحك باستخدام Chrome for Testing الذي سيواصل مراعاة السلوك الحالي.
يُرجى الإبلاغ عن أي مشاكل في ميزة الأمان الجديدة هذه على crbug.com.