Inihayag ng Google ang isang bagong feature na panseguridad para sa Chrome browser nito, na tinatawag na App-Bound Encryption, na nagta-target sa pagpigil sa pagnanakaw ng impormasyon ng nakakahamak na software mula sa pagtatangkang i-access ang cookies sa mga operating system ng Windows.
Ayon kay Will Harris mula sa Chrome Security Team, ginagamit ng Chrome ang Data Protection API (DPAPI) upang protektahan ang data sa pahinga mula sa iba pang mga user o pag-atake ng malamig na boot sa mga system ng Windows. Gayunpaman, hindi nagbibigay ng proteksyon ang DPAPI laban sa mga nakakahamak na application na nagpapatupad ng code bilang naka-log-in na user, na ginagawa itong mahina sa mga pag-atake ng pagnanakaw ng impormasyon.
Ang app-bound encryption ay isang hakbang sa seguridad na nagpapahusay sa Data Protection API (DPAPI) sa pamamagitan ng pag-embed ng pagkakakilanlan ng isang application, gaya ng Chrome, sa loob ng naka-encrypt na data. Tinitiyak ng pagsasama na ito na hindi ma-access ng ibang mga application sa system ang data kapag sinusubukang i-decrypt ito. Nabanggit ni Harris na dahil sa serbisyong nakatali sa app na tumatakbo na may mga pribilehiyo ng system, kakailanganin ng mga potensyal na umaatake na itaas ang kanilang mga pribilehiyo o mag-inject ng code sa Chrome upang ma-bypass ang feature na ito sa seguridad; ito ay isang hindi malamang na senaryo para sa isang lehitimong software.
Ang mahigpit na pagkakatali ng encryption key sa makina ay pumipigil sa pamamaraang ito na maging tugma sa mga kapaligiran kung saan lumilipat ang mga profile ng Chrome sa pagitan ng maraming machine. Ang mga organisasyong gumagamit ng mga roaming na profile ay inirerekomenda na ipatupad pinakamahuhusay na kagawian at i-set up ang ApplicationBoundEncryptionEnabled na patakaran.
Ang kamakailang pagpapahusay ng seguridad na ito, na ipinatupad sa Chrome 127, ay kasalukuyang nakatuon lamang sa pag-iingat ng cookies. Gayunpaman, nilalayon ng Google na palawigin ang proteksyong ito upang masakop ang mga password, impormasyon sa pagbabayad, at karagdagang mga token sa pagpapatotoo sa hinaharap.
Noong Abril, binalangkas ng Google ang isang paraan na gumagamit ng uri ng log ng kaganapan sa Windows, DAPIDefInformationEvent, upang matukoy ang mga pagkakataon ng iba mga application sa system na nag-a-access ng cookies at mga kredensyal ng browser.
Para sa mga macOS at Linux system, tinitiyak ng Chrome ang seguridad ng mga password at cookies sa pamamagitan ng paggamit ng mga serbisyo ng Keychain at mga wallet na ibinigay ng system tulad ng kwallet o gnome-libsecret.
Ang pag-unlad na ito ay dumating pagkatapos ng maraming pagpapahusay sa seguridad na ipinakilala sa Chrome, tulad ng pinahusay na Ligtas na Pagba-browse, Mga Kredensyal ng Device Bound Session (DBSC), at mga awtomatikong pagsusuri para sa mga potensyal na nakakahamak na pag-download. Binigyang-diin ni Harris na pinapataas ng app-bound encryption ang pagiging kumplikado at detectability ng mga pagsusumikap sa pagnanakaw ng data, na tumutulong sa mga security team sa pagtukoy ng mga tahasang limitasyon para sa mga katanggap-tanggap na aksyon ng iba pang mga app sa loob ng system.
Higit pa rito, dapat tandaan na kamakailan ay nagpasya ang Google na huwag ihinto ang paggamit ng third-party na cookies sa Chrome. Ang hakbang na ito ay nahaharap sa pagpuna mula sa World Wide Web Consortium (W3C). Ang W3C ay nagpahayag ng pagkabahala tungkol sa patuloy na paggamit ng mga third-party na cookies habang pinapagana ng mga ito ang pagsubaybay, na maaaring magkaroon ng negatibong implikasyon para sa lipunan, lalo na sa mga tuntunin ng pagsuporta sa mga micro-targeted na pampulitikang mensahe. Bukod dito, nagbabala ang W3C na ang desisyong ito ay maaaring makahadlang sa pag-unlad sa pagbuo ng mga mabubuhay na alternatibo sa third-party na cookies para sa iba't ibang web browser.