Google đã thông báo rằng họ đang thêm một lớp bảo vệ mới cho trình duyệt Chrome của mình thông qua cái gọi là mã hóa ràng buộc ứng dụng để ngăn chặn phần mềm độc hại đánh cắp thông tin lấy cookie trên các hệ thống Windows.
Mã hóa ràng buộc ứng dụng là một cải tiến so với DPAPI ở chỗ nó đan xen danh tính của ứng dụng (tức là Chrome trong trường hợp này) thành dữ liệu được mã hóa để ngăn một ứng dụng khác trên hệ thống truy cập vào ứng dụng đó khi cố gắng giải mã.
Do phương pháp này liên kết chặt chẽ khóa mã hóa với máy, nó sẽ không hoạt động chính xác trong môi trường mà hồ sơ Chrome chuyển vùng giữa nhiều máy. Các tổ chức hỗ trợ hồ sơ chuyển vùng được khuyến khích tuân theo các phương pháp hay nhất và đặt cấu hình chính sách ApplicationBoundEncryptionEnabled .
Thay đổi, đã đi vào hoạt động vào tuần trước với việc phát hành Chrome 127, chỉ áp dụng cho cookie, mặc dù Google cho biết họ dự định mở rộng bảo vệ này cho mật khẩu, dữ liệu thanh toán và các mã thông báo xác thực liên tục khác.
Trở lại vào tháng Tư, gã khổng lồ công nghệ đã phác thảo một kỹ thuật sử dụng loại nhật ký sự kiện Windows có tên DPAPIDefInformationEvent để phát hiện đáng tin cậy quyền truy cập vào cookie và thông tin đăng nhập của trình duyệt từ một ứng dụng khác trên hệ thống.
Điều đáng chú ý là trình duyệt web bảo mật mật khẩu và cookie trong các hệ thống Apple macOS và Linux bằng cách sử dụng các dịch vụ Keychain và ví do hệ thống cung cấp như kwallet hoặc gnome-libsecret, tương ứng.
Sự phát triển này diễn ra trong bối cảnh một loạt các cải tiến bảo mật được thêm vào Chrome trong những tháng gần đây, bao gồm Duyệt web an toàn nâng cao, Thông tin đăng nhập phiên bị ràng buộc thiết bị (DBSC) và quét tự động khi tải xuống các tệp độc hại và đáng ngờ.
Nó cũng theo sau thông báo của Google rằng họ không còn có kế hoạch ngừng sử dụng cookie của bên thứ ba trong Chrome, khiến World Wide Web Consortium (W3C) nhắc lại rằng họ cho phép theo dõi và quyết định này làm suy yếu tiến trình đạt được cho đến nay để làm cho web hoạt động mà không cần cookie của bên thứ ba.