Spoločnosť Google predstavila novú bezpečnostnú funkciu pre svoj prehliadač Chrome s názvom App-Bound Encryption, ktorej cieľom je zabrániť škodlivému softvéru, ktorý kradne informácie, pristupovať k súborom cookie v operačných systémoch Windows.
Podľa Will Harris z tímu zabezpečenia Chrome používa Chrome rozhranie Data Protection API (DPAPI) na ochranu údajov v pokoji pred inými používateľmi alebo útokmi studeného spustenia systémov Windows. DPAPI však neposkytuje ochranu pred škodlivými aplikáciami, ktoré spúšťajú kód ako prihlásený používateľ, takže je zraniteľný voči útokom kradnutia informácií.
Šifrovanie viazané na aplikáciu je bezpečnostné opatrenie, ktoré zlepšuje rozhranie Data Protection API (DPAPI) vložením identity aplikácie, ako je napríklad Chrome, do šifrovaných údajov. Toto zahrnutie zaisťuje, že iné aplikácie v systéme nebudú môcť pristupovať k údajom pri pokuse o ich dešifrovanie. Harris poznamenal, že vzhľadom na službu viazanú na aplikáciu fungujúcu so systémovými oprávneniami by potenciálni útočníci museli zvýšiť svoje oprávnenia alebo vložiť kód do prehliadača Chrome, aby obišli túto bezpečnostnú funkciu; toto je veľmi nepravdepodobný scenár pre legitímny softvér.
Pevná väzba šifrovacieho kľúča na stroj bráni tejto metóde, aby bola kompatibilná s prostrediami, kde sa profily Chrome pohybujú medzi viacerými strojmi. Organizáciám využívajúcim roamingové profily sa odporúča implementovať osvedčené postupy a nastaviť ApplicationBoundEncryptionEnabled zásada.
Toto nedávne vylepšenie zabezpečenia implementované v prehliadači Chrome 127 sa v súčasnosti zameriava výlučne na ochranu súborov cookie. Napriek tomu má Google v úmysle v budúcnosti rozšíriť túto ochranu tak, aby zahŕňala heslá, platobné informácie a ďalšie overovacie tokeny.
V apríli spoločnosť Google načrtla metódu využívajúcu typ denníka udalostí systému Windows, DPAPIDefInformationEvent, na identifikáciu inštancií iných aplikácie v systéme, ktoré pristupujú k súborom cookie a povereniam prehliadača.
Pre systémy MacOS a Linux Chrome zaisťuje bezpečnosť hesiel a súborov cookie využívaním služieb Keychain a systémových peňaženiek, ako sú kwallet alebo gnome-libsecret.
Tento vývoj prichádza po mnohých vylepšeniach zabezpečenia predstavených v prehliadači Chrome, ako je vylepšené Bezpečné prehliadanie, prihlasovacie údaje viazanej na zariadenie (DBSC) a automatické kontroly potenciálne škodlivých stiahnutí. Harris zdôraznil, že šifrovanie viazané na aplikáciu zvyšuje zložitosť a zistiteľnosť úsilia o krádež údajov a pomáha bezpečnostným tímom pri definovaní explicitných limitov pre prijateľné akcie iných aplikácií v systéme.
Okrem toho je potrebné poznamenať, že spoločnosť Google sa nedávno rozhodla nepodporovať súbory cookie tretích strán v prehliadači Chrome. Tento krok čelil kritike zo strany World Wide Web Consortium (W3C). W3C vyjadrilo znepokojenie nad pokračujúcim používaním súborov cookie tretích strán, pretože umožňujú sledovanie, čo môže mať negatívne dôsledky pre spoločnosť, najmä pokiaľ ide o podporu mikro-cielených politických správ. Okrem toho W3C varovalo, že toto rozhodnutie by mohlo potenciálne brániť pokroku vo vývoji životaschopných alternatív k súborom cookie tretích strán pre rôzne webové prehliadače.