Wijzigingen in de schakelaars voor foutopsporing op afstand om de beveiliging te verbeteren

bookmark_border Stay organized with collections Save and categorize content based on your preferences.

Gepubliceerd: 17 maart 2025

Vorig jaar hebben we verbeterde beveiliging voor cookies en inloggegevens aangekondigd met App-Bound Encryption voor Chrome .

Hoewel we hebben vastgesteld dat deze nieuwe bescherming heeft geresulteerd in een aanzienlijke vermindering van dit soort accountkapingen, blijven aanvallers zeer gemotiveerd om zich aan te passen aan deze nieuwe verdedigingsmechanismen en blijven we de technieken en het gedrag van infostealers in de gaten houden.

Sinds app-gebonden versleuteling is ingeschakeld, hebben we een toename gezien van het aantal aanvallers dat Chrome Remote Debugging gebruikt om cookies te extraheren. Het gebruik van deze methode om Chrome-cookies te stelen wordt al sinds 2018 besproken. Recente blogposts over dit gebruik van de poort voor foutopsporing op afstand en tools om cookies te extraheren ondersteunen echter onze interne gegevens die de toegenomen populariteit ervan aantonen. We blijven ons inzetten om deze technieken te ontwrichten en aanvallers verder in bedwang te houden, waardoor de kosten van deze aanvallen toenemen en de veiligheid van Chrome-gebruikers wordt beschermd.

Daarom brengen we vanaf Chrome 136 wijzigingen aan in het gedrag van --remote-debugging-port en --remote-debugging-pipe . Deze schakelaars worden niet langer gerespecteerd als u probeert fouten op te sporen in de standaardgegevensmap van Chrome. Deze schakelopties moeten nu vergezeld gaan van de schakeloptie --user-data-dir om naar een niet-standaard map te verwijzen. Een niet-standaard gegevensmap gebruikt een andere coderingssleutel, wat betekent dat de gegevens van Chrome nu beschermd zijn tegen aanvallers.

Voor ontwikkelaars die Chrome moeten debuggen (bijvoorbeeld vanuit VSCode), specificeren de instructies al het gebruik van een aangepaste gebruikersgegevensmap en we blijven deze aanpak aanbevelen om eventuele foutopsporing van echte profielen te isoleren.

Voor scenario's voor browserautomatisering raden we aan Chrome for Testing te gebruiken, dat het bestaande gedrag blijft respecteren.

Meld eventuele problemen met deze nieuwe beveiligingsfunctie aan crbug.com .