Ngày xuất bản: 17 tháng 3 năm 2025
Năm ngoái, chúng tôi đã công bố tính năng cải thiện bảo mật cho cookie và thông tin xác thực bằng Quy trình mã hoá liên kết với ứng dụng cho Chrome.
Mặc dù chúng tôi nhận thấy biện pháp bảo vệ mới này đã làm giảm đáng kể loại hình xâm nhập tài khoản này, nhưng kẻ tấn công vẫn rất có động lực để thích ứng với các biện pháp phòng thủ mới này. Chúng tôi sẽ tiếp tục theo dõi các kỹ thuật và hành vi mà trình lấy cắp thông tin sử dụng.
Kể từ khi bật tính năng Mã hoá liên kết với ứng dụng, chúng tôi nhận thấy số lượng kẻ tấn công sử dụng tính năng Gỡ lỗi từ xa của Chrome để trích xuất cookie tăng lên. Việc sử dụng phương thức này để đánh cắp cookie Chrome đã được thảo luận từ năm 2018. Tuy nhiên, các bài đăng trên blog gần đây đề cập đến việc sử dụng cổng gỡ lỗi từ xa và các công cụ để trích xuất cookie cho thấy dữ liệu nội bộ của chúng tôi cho thấy mức độ phổ biến của cổng này ngày càng tăng. Chúng tôi vẫn cam kết phá vỡ các kỹ thuật này và hạn chế thêm những kẻ tấn công, làm tăng chi phí của các cuộc tấn công này và bảo vệ sự an toàn của người dùng Chrome.
Do đó, từ Chrome 136, chúng tôi sẽ thực hiện thay đổi đối với hành vi của --remote-debugging-port và --remote-debugging-pipe. Các nút chuyển này sẽ không còn được tuân thủ nếu bạn cố gắng gỡ lỗi thư mục dữ liệu mặc định của Chrome. Giờ đây, các nút chuyển này phải đi kèm với nút chuyển --user-data-dir để trỏ đến một thư mục không chuẩn. Thư mục dữ liệu không chuẩn sử dụng một khoá mã hoá khác, nghĩa là dữ liệu của Chrome hiện được bảo vệ khỏi kẻ tấn công.
Đối với các nhà phát triển cần gỡ lỗi Chrome (ví dụ: từ VSCode), hướng dẫn đã chỉ định việc sử dụng thư mục dữ liệu người dùng tuỳ chỉnh và chúng tôi vẫn đề xuất phương pháp này để tách biệt mọi hoạt động gỡ lỗi khỏi mọi hồ sơ thực.
Đối với các trường hợp tự động hoá trình duyệt, bạn nên sử dụng Chrome dành cho kiểm thử. Trình duyệt này sẽ tiếp tục tuân theo hành vi hiện có.
Vui lòng báo cáo mọi vấn đề về tính năng bảo mật mới này trên crbug.com.