发布时间:2025 年 3 月 17 日
去年,我们宣布推出适用于 Chrome 的应用绑定加密,以增强 Cookie 和凭据的安全性。
虽然我们发现,这项新保护措施大大减少了此类账号盗用行为,但攻击者仍非常有动力适应这些新防御措施,因此我们会继续监控信息窃取者使用的技术和行为。
自启用应用绑定加密以来,我们发现使用 Chrome 远程调试来提取 Cookie 的攻击者有所增加。自 2018 年以来,我们就一直在讨论使用此方法窃取 Chrome Cookie 的问题。不过,最近介绍了如何使用远程调试端口的博文以及用于提取 Cookie 的工具,都支持我们的内部数据,表明其越来越受欢迎。我们将一如既往地致力于破坏这些技术,并进一步限制攻击者,从而增加这些攻击的成本并保护 Chrome 用户的安全。
因此,从 Chrome 136 开始,我们将更改 --remote-debugging-port 和 --remote-debugging-pipe 的行为。如果尝试调试默认的 Chrome 数据目录,系统将不再遵循这些开关。现在,这些开关必须与 --user-data-dir 开关搭配使用,才能指向非标准目录。非标准数据目录使用不同的加密密钥,这意味着 Chrome 的数据现在可以免受攻击者的侵害。
对于需要调试 Chrome(例如,通过 VSCode)的开发者,说明已指定使用自定义用户数据目录,我们仍然建议采用这种方法,以将任何调试内容与任何真实个人资料隔离。
对于浏览器自动化场景,我们建议使用用于测试的 Chrome,该版本将继续遵循现有行为。
如果您在使用这项新安全功能时遇到任何问题,请在 crbug.com 上提交问题。