Google öz Chrome brauzeri üçün məlumat oğurlayan zərərli proqram təminatının Windows əməliyyat sistemlərində kukilərə daxil olmaq cəhdinin qarşısını almağa yönəlmiş App-Bound Encryption adlı yeni təhlükəsizlik funksiyasını təqdim edib.
Chrome Təhlükəsizlik Qrupunun Will Harris fikrincə, Chrome Data Protection API (DPAPI) istifadə edir. istirahətdə olan məlumatları digər istifadəçilərdən və ya Windows sistemlərində soyuq yükləmə hücumlarından qorumaq üçün. Bununla belə, DPAPI sistemə daxil olmuş istifadəçi kimi kodu icra edən zərərli proqramlardan qorunmur və onu məlumat oğurluğu hücumlarına qarşı həssas edir.
Tətbiqə bağlı şifrələmə Chrome kimi tətbiqin identifikasiyasını şifrələnmiş dataya daxil etməklə Data Protection API-ni (DPAPI) təkmilləşdirən təhlükəsizlik tədbiridir. Bu daxiletmə sistemdəki digər proqramların məlumatların şifrəsini açmağa cəhd edərkən onlara daxil ola bilməməsini təmin edir. Harris qeyd etdi ki, sistem imtiyazları ilə işləyən proqrama bağlı xidmətə görə, potensial təcavüzkarlar bu təhlükəsizlik funksiyasından yan keçmək üçün öz imtiyazlarını yüksəltməli və ya Chrome-a kodu daxil etməli olacaqlar; bu, qanuni proqram təminatı üçün çox mümkün olmayan bir ssenaridir.
Şifrələmə açarının maşına möhkəm bağlanması bu metodun Chrome profillərinin çoxsaylı maşınlar arasında hərəkət etdiyi mühitlərə uyğun olmasına mane olur. Rouminq profillərindən istifadə edən təşkilatlara ən yaxşı təcrübələri tətbiq etmək və ApplicationBoundEncryptionEnabled qurmaq tövsiyə olunur. ApplicationBoundEncryptionEnabled) siyasəti.
Chrome 127-də həyata keçirilən bu son təhlükəsizlik təkmilləşdirməsi hazırda yalnız kukilərin qorunmasına yönəlib. Buna baxmayaraq, Google gələcəkdə parolları, ödəniş məlumatlarını və əlavə autentifikasiya nişanlarını əhatə etmək üçün bu mühafizəni genişləndirmək niyyətindədir.
Aprel ayında Google digər hadisələrin nümunələrini müəyyən etmək üçün Windows hadisə jurnalı növü, DPAPIDefInformationEvent istifadə edən metodu qeyd etdi. brauzer kukilərinə və etimadnaməyə daxil olan sistemdəki tətbiqlər.
macOS və Linux sistemləri üçün Chrome Keychain xidmətlərindən və kwallet və ya gnome-libsecret kimi sistem tərəfindən təmin edilən pul kisələrindən istifadə etməklə parolların və kukilərin təhlükəsizliyini təmin edir.
Bu inkişaf Chrome-da təkmilləşdirilmiş Təhlükəsiz Baxış, Cihazla Bağlı Sessiya Etibarnamələri (DBSC) və potensial zərərli yükləmələr üçün avtomatlaşdırılmış yoxlamalar kimi Chrome-da təqdim edilmiş çoxsaylı təhlükəsizlik təkmilləşdirmələrindən sonra baş verir. Harris vurğuladı ki, proqrama bağlı şifrələmə məlumat oğurluğu cəhdlərinin mürəkkəbliyini və aşkarlanmasını artırır, sistem daxilində digər tətbiqlər tərəfindən məqbul hərəkətlər üçün açıq məhdudiyyətlərin müəyyən edilməsində təhlükəsizlik qruplarına kömək edir.
Bundan əlavə, qeyd etmək lazımdır ki, Google bu yaxınlarda Chrome-da üçüncü tərəf kukilərini ləğv etməmək qərarına gəldi. Bu addım World Wide Web Consortium (W3C) tərəfindən tənqidlə üzləşib. W3C üçüncü tərəf kukilərindən izləməyə imkan verdikləri üçün davamlı istifadə ilə bağlı narahatlığını ifadə etdi ki, bu da cəmiyyət üçün, xüsusən də mikro hədəfli siyasi mesajların dəstəklənməsi baxımından mənfi nəticələrə səbəb ola bilər. Bundan əlavə, W3C xəbərdarlıq etdi ki, bu qərar müxtəlif veb-brauzerlər üçün üçüncü tərəf kukilərinə uyğun alternativlərin hazırlanmasında irəliləyişə potensial olaraq mane ola bilər.