Google анонсировала важное обновление безопасности в предстоящей версии Chrome 136, которое устранит критическую уязвимость, существовавшую более двух десятилетий. Проблема позволяла злоумышленникам отслеживать историю просмотров пользователей путем анализа цветов посещенных ссылок на веб-страницах.
Технические аспекты уязвимости
Уязвимость основана на особенностях работы CSS-псевдокласса :visited, который применяется к HTML-элементам с атрибутом href. Браузеры традиционно использовали различные цвета для отображения посещенных и непосещенных ссылок, что создавало возможность для side-channel атак. Злоумышленники могли определять историю просмотров пользователя, анализируя, какие ссылки отображаются как посещенные.
История проблемы и попытки её решения
Впервые уязвимость была обнаружена в 2002 году Дэвидом Бэроном, который сейчас работает инженером-программистом в Google. За прошедшие годы было предпринято несколько попыток смягчить последствия этой проблемы, включая ограничения на использование метода window.getComputedStyle. Однако исследователи продолжали находить способы обхода существующих защитных механизмов.
Инновационное решение в Chrome 136
Новый подход, реализуемый в Chrome 136, предполагает внедрение системы разделения истории посещенных ссылок. Вместо глобального списка посещенных URL-адресов, браузер будет хранить историю в изолированных сегментах, используя три ключевых параметра: URL ссылки, домен сайта-источника и происхождение фрейма.
Принцип работы новой защиты
Для применения стилей к посещенным ссылкам теперь потребуется точное совпадение всех трёх параметров. Это эффективно предотвратит возможность одних сайтов проверять статус посещения других доменов, существенно повышая уровень конфиденциальности пользователей.
Релиз Chrome 136 запланирован на 23 апреля 2025 года, и это обновление станет первым среди крупных браузеров, полностью решающим проблему отслеживания истории просмотров через CSS. Эксперты в области кибербезопасности, включая исследователя Лукаша Олейника, положительно оценивают данное решение, отмечая его важность для создания более безопасного и конфиденциального интернет-пространства.
