Mudanças nas chaves de depuração remota para melhorar a segurança

Will Harris

Publicado em 17 de março de 2025

No ano passado, anunciamos a melhoria da segurança de cookies e credenciais com a Criptografia vinculada a apps para o Chrome.

Embora tenhamos observado que essa nova proteção resultou em uma redução substancial nesse tipo de invasão de conta, os invasores continuam muito motivados a se adaptar a essas novas defesas, e continuamos monitorando as técnicas e os comportamentos usados por ladrões de informações.

Desde que a criptografia vinculada ao app foi ativada, observamos um aumento no número de invasores que usam a Depuração remota do Chrome para extrair cookies. O uso deste método para roubar cookies do Chrome é discutido desde 2018. No entanto, as postagens recentes sobre esse uso da porta de depuração remota e as ferramentas para extrair cookies apoiam nossos dados internos que mostram o aumento da popularidade. Continuamos comprometidos a interromper essas técnicas e restringir ainda mais os invasores, aumentando o custo desses ataques e protegendo a segurança dos usuários do Chrome.

Portanto, a partir do Chrome 136, estamos fazendo mudanças no comportamento de --remote-debugging-port e --remote-debugging-pipe. Essas opções não serão mais respeitadas se tentarem depurar o diretório de dados padrão do Chrome. Agora, essas chaves precisam ser acompanhadas da chave --user-data-dir para apontar para um diretório não padrão. Um diretório de dados não padrão usa uma chave de criptografia diferente, o que significa que os dados do Chrome agora estão protegidos contra ataques.

Para desenvolvedores que precisam depurar o Chrome (por exemplo, no VSCode), as instruções já especificam o uso de um diretório de dados do usuário personalizado, e continuamos recomendando essa abordagem para isolar qualquer depuração de perfis reais.

Para cenários de automação de navegador, recomendamos o uso do Chrome para testes, que vai continuar respeitando o comportamento atual.

Informe qualquer problema com esse novo recurso de segurança em crbug.com.