Google představil novou bezpečnostní funkci pro svůj prohlížeč Chrome, nazvanou App-Bound Encryption, která se zaměřuje na zamezení pokusu škodlivého softwaru kradoucího informace o přístup k souborům cookie v operačních systémech Windows.
Podle Will Harris z týmu zabezpečení Chrome používá Chrome rozhraní Data Protection API (DPAPI) k ochraně dat v klidu před ostatními uživateli nebo útoky studeného spouštění v systémech Windows. DPAPI však neposkytuje ochranu proti škodlivým aplikacím, které spouštějí kód jako přihlášený uživatel, takže je zranitelný vůči útokům kradoucím informace.
Šifrování vázané na aplikaci je bezpečnostní opatření, které zlepšuje rozhraní Data Protection API (DPAPI) vložením identity aplikace, jako je Chrome, do šifrovaných dat. Toto zahrnutí zajišťuje, že ostatní aplikace v systému nebudou moci přistupovat k datům při pokusu o jejich dešifrování. Harris poznamenal, že kvůli službě vázané na aplikaci, která pracuje se systémovými oprávněními, by potenciální útočníci museli povýšit svá oprávnění nebo vložit kód do Chromu, aby tuto bezpečnostní funkci obešli; toto je vysoce nepravděpodobný scénář pro legitimní software.
Pevná vazba šifrovacího klíče k počítači brání tomu, aby tato metoda byla kompatibilní s prostředími, kde se profily Chrome pohybují mezi více počítači. Organizacím využívajícím roamingové profily se doporučuje implementovat doporučené postupy a nastavit ApplicationBoundEncryptionEnabled zásada.
Toto nedávné vylepšení zabezpečení implementované v Chrome 127 se v současnosti zaměřuje výhradně na zabezpečení souborů cookie. Google však má v úmyslu tuto ochranu v budoucnu rozšířit tak, aby zahrnovala hesla, platební údaje a další ověřovací tokeny.
V dubnu Google nastínil metodu využívající typ protokolu událostí Windows, DPAPIDefInformationEvent, k identifikaci instancí jiných aplikace v systému, které přistupují k souborům cookie a přihlašovacím údajům prohlížeče.
Pro systémy macOS a Linux Chrome zajišťuje zabezpečení hesel a souborů cookie využitím služeb Keychain a peněženek poskytovaných systémem, jako je kwallet nebo gnome-libsecret.
Tento vývoj přichází po četných vylepšeních zabezpečení představených v prohlížeči Chrome, jako je vylepšené Bezpečné prohlížení, přihlašovací údaje k relace zařízení (DBSC) a automatické kontroly potenciálně škodlivých stahování. Harris zdůraznil, že šifrování vázané na aplikace zvyšuje složitost a odhalitelnost snah o krádeže dat a pomáhá bezpečnostním týmům při definování explicitních limitů pro přijatelné akce jiných aplikací v systému.
Dále je třeba poznamenat, že společnost Google nedávno přijala rozhodnutí, že v prohlížeči Chrome nebude podporovat soubory cookie třetích stran. Tento krok čelil kritice od World Wide Web Consortium (W3C). W3C vyjádřilo znepokojení nad dalším používáním souborů cookie třetích stran, protože umožňují sledování, což může mít negativní důsledky pro společnost, zejména pokud jde o podporu mikrocílených politických zpráv. W3C navíc varovalo, že toto rozhodnutí by mohlo potenciálně bránit pokroku ve vývoji životaschopných alternativ k souborům cookie třetích stran pro různé webové prohlížeče.