Google Chrome se pregateste sa introduca o imbunatatire pentru a corecta o vulnerabilitate de confidentialitate care a permis site-urilor web sa urmareasca istoricul de navigare al utilizatorilor.

Timp de ani de zile, browserele web au permis site-urilor sa stilizeze linkurile vizitate utilizand selectorul :visited din codul CSS. Aceasta caracteristica simpla, conceputa pentru a imbunatati experienta utilizatorului prin afisarea intr-o culoare diferita a linkurilor pe care s-a facut clic anterior, reprezinta de fapt o problema pentru confidentialitatea utilizatorilor. De fapt, aceasta proprietate CSS a permis site-urilor sa deduca istoricul de navigare al vizitatorilor, chiar daca legaturile au fost clicate pe alte site-uri.

Aceasta problema de securitate poate fi, de asemenea, exploatata pentru urmarirea si profilarea utilizatorilor. In acelasi timp, cercetatorii in domeniul securitatii au demonstrat o serie de vectori de atac care exploateaza aceasta deficienta: atacuri de sincronizare, manipularea pixelilor, interactiunile utilizatorului si procesele browserului.

Selectorul CSS:visited mentionat in acest articol nu este specific pentru Google Chrome: este o problema potentiala pentru toate browserele. De exemplu, Firefox si Safari au, de asemenea, aceasta problema si au existat incercari de a limita accesul la anumite informatii (in special prin limitarea JavaScript). Totusi, acest lucru nu pare sa mearga la fel de departe ca protectia dezvoltata de Google.

Chrome 136: partitionare cu trei taste pentru compartimentarea linkurilor vizitate

In Chrome 136, Google a introdus o solutie bazata pe o tehnica denumita „compartimentare cu trei chei” pentru link-urile vizitate. Aceasta tehnica se bazeaza pe utilizarea comuna a trei elemente pentru a determina daca un link trebuie sa apara ca „vizitat”:

adresa URL a legaturii

site-ul de nivel superior (domeniul vizibil in bara de adrese),

originea (cadrul) in care este redata legatura.

Cu acest sistem, Google intentioneaza sa rezolve o problema de confidentialitate care exista de 20 de ani. Atunci cand aceasta caracteristica este activata, un link va aparea ca fiind deja vizitat numai daca utilizatorul a facut clic pe el in acelasi context. In principiu, acest lucru face imposibila utilizarea acestor informatii de catre alte site-uri web, asa cum a fost cazul pana acum.

Cu toate acestea, Google face o exceptie pentru self-link-uri, adica link-uri din cadrul aceluiasi site. „Pe scurt, un site isi poate afisa propriile subpagini ca :vizitate, chiar daca aceste linkuri nu au mai fost accesate anterior in acest context”, se arata pe site-ul Google.

La un moment dat, Google a luat in considerare eliminarea cu totul a selectorului :visited, insa aceasta idee a fost abandonata ca fiind prea daunatoare pentru experienta utilizatorului.

In asteptarea lansarii Google Chrome 136, care se afla in versiune beta din 3 aprilie 2025 si urmeaza sa fie lansat saptamana viitoare, utilizatorii Chrome 132 pana la 135 pot activa manual aceasta functie experimentala. Este suficient sa accesati aceasta optiune prin bara de adrese a browserului:

chrome://flags/#partition-visited-link-database-with-self-links

Apoi, trebuie sa activati functia „Partition the Visited Link Database, including «self-links»” prin schimbarea statutului acesteia.

Sursa:  https://www.it-connect.fr/google-chrome-136-enterre-un-probleme-de-securite-vieux-de-20-ans/

Share on Facebook

Tweet

Save

Vezi si:  Test de rapiditate: iPhone 5 versus iPhone 4s versus Samsung Galaxy S3

Related posts:

Seo Netlinking: 4 sfaturi pentru succes Rusia amendeaza Google cu 36 de zerouri pentru stergerile de pe YouTube Google Pixel 5a: iata tot ce trebuie sa stii Pixel Fold sau Pixel 7a? google se pregateste sa lanseze un nou smartphone pe piata Vine Craciunul? Nicio problema! Stim cadoul perfect! Cele mai bune programe gratuite si indispensabile pentru Windows