Google rezolvă o vulnerabilitate de confidențialitate ce permitea site-urilor să afle istoricul de navigare al utilizatorilor.

Gigantul tehnologic a anunțat că versiunea 136 a browserului Chrome va remedia o vulnerabilitate existentă de peste două decenii, care permitea paginilor web să afle ce pagini au fost vizitate anterior de utilizatori.

Problema ţinea de modul în care browserul marca linkurile vizitate cu ajutorul selectorului CSS :vizitat, atribuindu-le o culoare diferită față de cele nevizitate.

Această caracteristică, utilă din punct de vedere al utilizatorului, putea fi exploatată de site-uri prin scripturi complexe pentru a deduce istoricul de navigare al utilizatorilor, chiar dacă aceștia accesaseră linkurile respective de pe alte platforme.

Experții au identificat diverse metode de atac care abuzau de această vulnerabilitate, inclusiv cele bazate pe calculul timpilor de încărcare, pe utilizarea pixelilor, pe interacţiunea directă cu utilizatorul și la nivel de proces.

Soluția din actualizarea Chrome 136

Actualizarea Chrome 136 va implementa o metodă avansată de segmentare a datelor despre link-urile vizitate. Aceasta va stoca informațiile despre un link separat în funcție de:

• adresa URL a linkului;
• domeniul principal al site-ului (parte de sus a adresei);
• originea cadrului în care este afișat linkul.

Această abordare asigură că un link este marcat ca vizitat doar în același context în care a fost accesat, împiedicând transmiterea acestor date între site-uri diferite.

Pentru a menține funcționalitatea utilă a browserului, Google a făcut o excepție pentru linkurile interne, permițând site-urilor să marcheze propriile pagini ca vizitate, chiar dacă au fost accesate de pe alte platforme.

Google a explicat că eliminarea completă a selectorului :vizitat ar afecta negativ utilizabilitatea browserului, iar o soluție bazată pe permisiuni ar fi fost vulnerabilă la atacuri.

Alte browsere și problema confidențialității

Funcția nouă a fost implementată experimental în Chrome 132 și a putut fi activată manual până la versiunea 135 accesând chrome://flags/#partition-visited-link-database-with-self-links și selectând opțiunea „activat”. Începând cu versiunea 136, această protecție este implementată implicit.

În alte browsere, problema confidențialității persistentă. Firefox limitează stilurile permise pentru :vizitat și blochează accesul JavaScript, dar nu implementează o segmentare completă.

Safari folosește măsuri avansate de protecție a intimității, cum ar fi Intelligent Tracking Prevention, dar fără o separare completă a datelor vizitate între site-uri.