Googleの変更Chrome 80はCookieとパスワードの暗号化を弱めましたか？

StackOverflowのArunによると、「開始Chrome 80バージョン、CookieはAES256-GCMアルゴリズムを使用して暗号化され、AES暗号化キーはDPAPI暗号化システムで暗号化され、暗号化されたキーは内部に保存されます。 「ローカル状態」ファイル。」（ https://stackoverflow.com/questions/60230456/dpapi-fails-with-cryptographicexception-when-trying-to-decrypt-chrome-cookies/60611673#6061167 ）。

一見すると、これはCookieをWindows Data Protection API（DPAPI）に直接渡すのではなく、改善されたように見えます。Cookieはより優れたアルゴリズムで暗号化され、キーのみがAPIによって保護されます。より強力な暗号化が使用され、Windows Data Protection APIがキーを暗号化します。残念ながら、保護範囲はLocalUserからLocalMachineに変更されています。

これは、ユーザーがハードドライブを別のコンピューターに接続してコピーした場合、Windowsデータ保護APIを使用してローカル状態ファイルのこのキーを復号化するためにWindowsアカウントのパスワードは不要になることを意味します。理論的には、これによりシステム上の別のユーザーがパスワードとCookieを盗むことが可能になり、さらに存在していたセキュリティ保護が弱められます。

私はこのリスクを示すコードデモをBrave Browserと組み合わせました（参照： https://github.com/irlcatgirl/BraveCookieReaderDemo ）。 ChromeのSQLiteファイルとローカル状態ファイルのパスを交換するのは簡単です。

によると https://docs.Microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata#parameters

通常、データを暗号化解除できるのは、データを暗号化したユーザーのログオン資格情報と一致するログオン資格情報を持つユーザーのみです。さらに、通常、復号化はデータが暗号化されたコンピューターでのみ実行できます。ただし、ローミングプロファイルを持つユーザーは、ネットワーク上の別のコンピューターからのデータを復号化できます。データが暗号化されているときにCRYPTPROTECT_LOCAL_MACHINEフラグが設定されている場合、暗号化が行われたコンピューター上のすべてのユーザーがデータを復号化できます。この関数は、暗号化を実行するためのセッションキーを作成します。セッションキーは、データを復号化するときに再度生成されます。

Windows DPAPIのスコープが変更されたため、この変更によりChromeのセキュリティが損なわれたり、検出結果が誤って解釈されたりしていませんか？