Web浏览器会存储各种高度敏感的数据，包括密码和cookie(通常包含功能上与密码等效的身份验证令牌)。当存储此特别敏感的数据时，Chromium使用AES256对其进行加密，并将加密密钥存储在OS存储区中，以上过程就是本地数据加密。并非所有浏览器的数据存储都使用加密，例如，浏览器缓存不使用加密。如果你的设备有被盗的危险，则应使用操作系统的全盘加密功能，例如Windows上的BitLocker。

配置文件的加密密钥受OSCrypt保护：在Windows上，“操作系统存储”区域为DPAPI;在Mac上是钥匙串;在Linux上，它是Gnome Keyring或KWallet。

值得注意的是，所有这些存储区均使用可作为用户运行的(某些或全部)进程可访问的密钥对AES256密钥进行加密。这意味着，如果你的PC感染了恶意软件，则攻击者可以解密访问浏览器的存储区。

但是，这并不是说本地数据加密完全没有价值，例如，我最近遇到了一个配置漏洞的网络服务器，该网络服务器允许任何访问者浏览服务器所有者的个人资料(例如c：\ users \ sally)，包括其Chrome个人资料夹。由于配置文件中的浏览器密钥是使用存储在Chrome配置文件外部的密钥加密的，因此它们最敏感的数据仍保持加密状态。

同样，如果笔记本电脑未受到全盘加密保护，则本地数据加密将使攻击者的攻击更加艰难。

好的，因此本地数据加密可能很有用。那不利之处是什么?

显而易见的攻击是简单温和的：加密和解密数据最终会降低性能。但是，AES256在现代硬件上非常快(> 1GB /秒)，并且cookie和凭据的数据大小相对较小。但更大的风险是复杂性，如果两个密钥(用于加密数据的浏览器密钥或用于加密浏览器密钥的操作系统密钥)中的任何一个出问题，则用户的Cookie和凭据数据将无法恢复。用户将被迫重新登录每个网站，并将所有凭据重新存储在其密码管理器中或使用浏览器的同步功能从云中恢复其凭据。

在Mac上，研究人员最近在Edge发现了一个漏洞，即浏览器无法从OS钥匙串获取浏览器密钥。由于浏览器将提供删除钥匙串(丢失所有数据)的功能，但是忽略漏洞消息并重新启动通常可以解决问题，不过最近该漏洞的修复程序已经发布了。

在Windows上，DPAPI漏洞通常是隐蔽进行的。通常受害者的数据消失，并且没有消息框。

当我于2018年首次加入Microsoft时，AAD中的一个漏洞意味着我的OS DPAPI密钥已被破坏，导致基于Chromium的浏览器在启动时会导致lsass永远保留CPU内核，解决此漏洞需要花费数月的时间。