發布日期:2025 年 3 月 17 日
去年,我們宣布推出 Chrome 應用程式綁定加密功能,以強化 Cookie 和憑證的安全性。
雖然我們發現這項新防護機制大幅減少這類帳戶盜用行為,但攻擊者仍會積極調整,以因應這些新的防護機制,我們會持續監控資訊竊取者使用的技術和行為。
自從啟用應用程式綁定加密功能後,我們發現攻擊者使用 Chrome 遠端偵錯功能來擷取 Cookie 的情況有所增加。自 2018 年起,我們就討論過使用這種方法竊取 Chrome Cookie。不過,最近的部落格文章和擷取 Cookie 的工具,都證明我們的內部資料顯示這項功能越來越受歡迎。我們會持續致力於破壞這些手法,並進一步限制攻擊者,提高攻擊成本,保護 Chrome 使用者的安全。
因此,我們會從 Chrome 136 開始變更 --remote-debugging-port 和 --remote-debugging-pipe 的行為。如果嘗試對預設 Chrome 資料目錄進行偵錯,系統就不會再遵循這些切換。這些切換鈕現在必須搭配 --user-data-dir 切換鈕,才能指向非標準目錄。非標準資料目錄會使用不同的加密金鑰,因此 Chrome 資料現在可受到保護,不受攻擊者侵擾。
如果開發人員需要對 Chrome 進行偵錯 (例如透過 VSCode),說明會已指定使用自訂使用者資料目錄,我們仍建議採用這種做法,將任何偵錯作業與任何實際設定檔隔離。
針對瀏覽器自動化情境,建議使用 Chrome 測試版,因為這會繼續遵循現有行為。
如有任何與這項新安全防護功能相關的問題,請前往 crbug.com 回報。