Google өзүнүн Chrome браузери үчүн App-Bound Encryption деп аталган жаңы коопсуздук функциясын ачты, ал маалымат уурдоочу зыяндуу программалык камсыздоонун Windows операциялык тутумдарында кукилерге кирүү аракетин алдын алууга багытталган.
Chrome Коопсуздук тобунан Will Harris ылайык, Chrome Маалыматтарды коргоо API'син (DPAPI) колдонот. башка колдонуучулардан же Windows системаларында муздак жүктөө чабуулдарынан эс алуудагы маалыматтарды коргоо үчүн. Бирок, DPAPI кирген колдонуучу катары кодду аткарган зыяндуу тиркемелерден коргоону камсыз кылбайт жана аны маалыматты уурдоо чабуулдарынан коргойт.
Колдонмого байланышкан шифрлөө - Chrome сыяктуу колдонмонун аныктыгын шифрленген берилиштерге кыстаруу аркылуу Data Protection API (DPAPI) жакшыртуучу коопсуздук чарасы. Бул кошуу системадагы башка колдонмолор аны чечмелөө аракетинде маалыматтарга кире албашын камсыздайт. Харрис тутум артыкчылыктары менен иштеген колдонмого байланышкан кызматтан улам, потенциалдуу чабуулчулар бул коопсуздук функциясын айланып өтүү үчүн артыкчылыктарын жогорулатууга же Chrome'го кодду киргизүүгө муктаж болорун белгиледи; бул мыйзамдуу программалык камсыздоо үчүн өтө күмөндүү сценарий.
Шифрлөө ачкычынын машинага бекем туташуусу бул ыкманын Chrome профилдери бир нече машинанын ортосунда жылган чөйрөлөргө шайкеш келишине жол бербейт. Роуминг профилдерин колдонгон уюмдарга мыкты тажрыйбаларды ишке ашыруу жана ApplicationBoundEncryptionEnabled орнотуу сунушталат. ApplicationBoundEncryptionEnabled) саясаты.
Chrome 127де ишке ашырылган бул акыркы коопсуздук өркүндөтүүсү учурда кукилерди коргоого гана багытталган. Ошого карабастан, Google бул коргоону келечекте сырсөздөрдү, төлөм маалыматын жана кошумча аутентификация белгилерин камтуу үчүн кеңейтүүгө ниеттенүүдө.
Апрелде Google башка окуялардын мисалдарын аныктоо үчүн Windows окуялар журналынын түрүн, DPAPIDefInformationEvent колдонгон ыкманы белгилеген. системадагы колдонмолор браузердин кукилерине жана эсептик дайындарына кире алышат.
macOS жана Linux тутумдары үчүн Chrome Keychain кызматтарын жана kwallet же gnome-libsecret сыяктуу система тарабынан берилген капчыктарды колдонуу менен сырсөздөрдүн жана кукилердин коопсуздугун камсыздайт.
Бул өнүгүү Chrome'до жакшыртылган Safe Browsing, Device Bound Session Credentials (DBSC) жана потенциалдуу зыяндуу жүктөп алууларды автоматташтырылган текшерүүлөр сыяктуу көптөгөн коопсуздук өркүндөтүүлөрүнөн кийин ишке ашат. Харрис колдонмого байланышкан шифрлөө маалыматтарды уурдоо аракеттеринин татаалдыгын жана аныкталышын жогорулатып, коопсуздук топторуна системанын ичиндеги башка колдонмолор тарабынан алгылыктуу иш-аракеттер үчүн ачык чектерди аныктоого жардам берерин баса белгиледи.
Мындан тышкары, Google жакында Chrome'до үчүнчү тараптын кукилерин жокко чыгарбоо чечимин кабыл алганын белгилей кетүү керек. Бул кадам World Wide Web Consortium (W3C) тарабынан сынга кабылган. W3C үчүнчү тараптын кукилерин колдонууну улантууга тынчсыздануусун билдирди, анткени алар байкоо жүргүзүүгө мүмкүндүк берет, бул коом үчүн терс таасирин тийгизиши мүмкүн, айрыкча микро-максаттуу саясий билдирүүлөрдү колдоо жагынан. Мындан тышкары, W3C бул чечим ар кандай веб-браузерлер үчүн үчүнчү тараптын кукилерине ылайыктуу альтернативаларды иштеп чыгууда прогресске тоскоол болушу мүмкүн экенин эскертти.