Problem ten nęka sieć od 20 lat, ale przeglądarki niewłaściwie obsługiwały śledzenie odwiedzanych witryn już od wczesnych dni internetu. Google pracuje teraz nad rozwiązaniem tego problemu w Chrome. Kolejna aktualizacja przeglądarki poprawi sposób zarządzania historią odwiedzin, potencjalnie czyniąc całą klasę exploitów przestarzałymi.
Jak Chrome ulepszy bezpieczeństwo?
Google twierdzi, że Chrome 136 będzie pierwszą główną przeglądarką, która podzieli historię odwiedzanych linków. Tradycyjnie selektor CSS „:visited” pozwalał witrynom stylizować odwiedzane linki – zazwyczaj zmieniając je z niebieskiego na fioletowy. Nowoczesny design umożliwia znacznie większą personalizację, którą atakujący wykorzystali do wydobycia historii przeglądania użytkowników za pomocą ataków typu “side-channel”.
Cyberprzestępcy wykorzystali ten problem, opracowując kreatywne techniki demaskowania historii odwiedzanych przez użytkowników adresów URL. To z kolei prowadzi do poważnych zagrożeń bezpieczeństwa, takich jak śledzenie, profilowanie i kampanie phishingowe. Przeglądarka Chrome 136 ma na celu zablokowanie tych luk, ograniczając sposób, w jaki witryny stosują style za pośrednictwem odwiedzanego selektora.
Odwiedzona historia tradycyjnie nie była podzielona, czyli nie miała ograniczeń co do tego, gdzie selektor może wyświetlać wcześniej kliknięte linki. Nowe podejście do partycjonowania zapewni, że link będzie wyświetlany jako „odwiedzony” (domyślnie fioletowy) tylko na oryginalnej stronie i w ramce, w której użytkownik kliknął go po raz pierwszy.
Czytaj też: Google opublikowało instalator Chrome, który… nie działa na Windows
Partycjonowanie zapobiega wyciekowi między witrynami historii odwiedzonych linków, ale Google planuje jeden wyjątek – dla linków samoodwołujących się. Firma zdecydowała się również nie wycofywać całkowicie selektora odwiedzonych, argumentując, że zapewnia on użytkownikom niezbędne wizualne informacje zwrotne.
W Chrome 132 początkowo wprowadzono partycjonowanie jako funkcję eksperymentalną, a Google planuje, że zostanie ona domyślnie włączona w Chrome 136. Inne przeglądarki podjęły kroki w celu zapobiegania wyciekom historii adresów URL, ale żadna z nich nie wdrożyła partycjonowania ani izolacji historii. Jeśli podejście Chrome okaże się skuteczne bez pogorszenia jakości obsługi użytkownika, konkurencyjne przeglądarki mogą przyjąć podobne środki.