Yayınlanma tarihi: 17 Mart 2025
Geçtiğimiz yıl, Chrome için Uygulamaya Bağlı Şifreleme ile çerez ve kimlik bilgileri için daha iyi güvenlik sunduğumuzu duyurmuştuk.
Bu yeni korumanın, bu tür hesap ele geçirme işlemlerinde önemli bir düşüşe yol açtığını gözlemledik. Ancak saldırganlar bu yeni savunmalara uyum sağlamak için son derece motive olmaya devam ediyor. Bilgi çalan kişilerin kullandığı teknikleri ve davranışları izlemeye devam ediyoruz.
Uygulamaya Bağlı Şifreleme etkinleştirildikten sonra, çerezleri ayıklamak için Chrome Uzaktan Hata Ayıklama'yı kullanan saldırganlarda artış gördük. Chrome çerezlerini çalmak için bu yöntemin kullanılması 2018'den beri tartışılıyor. Ancak son zamanlarda uzak hata ayıklama bağlantı noktasının bu kullanımını ele alan blog yayınları ve çerezleri ayıklamak için kullanılan araçlar, bu bağlantı noktasının popülerliğinin arttığını gösteren dahili verileri destekliyor. Bu teknikleri bozmaya ve saldırganları daha da kısıtlamaya, bu saldırıların maliyetini artırmaya ve Chrome kullanıcılarının güvenliğini korumaya kararlıyız.
Bu nedenle, Chrome 136'tan itibaren --remote-debugging-port ve --remote-debugging-pipe'ın davranışında değişiklikler yapıyoruz. Varsayılan Chrome veri dizininde hata ayıklama işlemi yapmaya çalışırken bu anahtarlara artık uyulmaz. Bu geçişler artık standart olmayan bir dizine işaret etmek için --user-data-dir ile birlikte kullanılmalıdır. Standart olmayan bir veri dizini farklı bir şifreleme anahtarı kullanır. Bu, Chrome verilerinin artık saldırganlara karşı korunduğu anlamına gelir.
Chrome'da hata ayıklama yapması gereken geliştiriciler (ör. VSCode'dan) için talimatlarda özel bir kullanıcı verileri dizininin kullanılması belirtilmiştir. Hata ayıklama işlemlerini gerçek profillerden ayırmak için bu yaklaşımı kullanmaya devam etmenizi öneririz.
Tarayıcı otomasyonu senaryoları için mevcut davranışa uymaya devam edecek olan Test için Chrome'u kullanmanızı öneririz.
Bu yeni güvenlik özelliğiyle ilgili sorunları lütfen crbug.com adresinden bildirin.