Команда Google анонсувала революційне оновлення безпеки для Chrome 136, яке нарешті закриє критичну вразливість, що існувала понад 20 років. Ця вразливість дозволяла зловмисникам відстежувати історію відвідувань користувачів через аналіз кольорів посилань на веб-сторінках, серйозно порушуючи конфіденційність даних мільйонів користувачів.
Технічний аналіз вразливості CSS
В основі проблеми лежить механізм роботи CSS-псевдокласу :visited, який застосовується до HTML-елементів з атрибутом href. Традиційний підхід браузерів до відображення відвіданих посилань іншим кольором створював вектор для side-channel атак. Зловмисники могли використовувати JavaScript та CSS для визначення, які саме посилання користувач відвідував раніше, що відкривало широкі можливості для несанкціонованого збору даних.
Еволюція проблеми та попередні спроби захисту
Вразливість була вперше виявлена у 2002 році інженером Девідом Бероном. За минулі роки спеціалісти з кібербезпеки впроваджували різні механізми захисту, включаючи обмеження функціональності window.getComputedStyle. Проте дослідники продовжували знаходити способи обходу цих захисних бар’єрів, демонструючи необхідність кардинально нового підходу до вирішення проблеми.
Інноваційна система захисту в Chrome 136
Нове рішення, що впроваджується в Chrome 136, базується на революційному підході до зберігання історії відвідувань. Замість єдиного глобального списку URL-адрес, браузер використовуватиме сегментовану систему зберігання, засновану на трьох ключових параметрах:
Компоненти нової системи безпеки
Система враховує URL посилання, домен сайту-джерела та походження фрейму. Стилі відвіданих посилань застосовуватимуться лише при повному збігу всіх трьох параметрів, що ефективно запобігає можливості перехресного відстеження між різними доменами.
Випуск Chrome 136, запланований на 23 квітня 2025 року, стане першим серед провідних браузерів, який повністю вирішить проблему витоку даних через CSS. Експерти з кібербезпеки високо оцінюють це рішення, відзначаючи його потенціал для створення більш безпечного та приватного інтернет-простору. Впровадження нової системи захисту знаменує важливий крок у розвитку технологій захисту конфіденційності користувачів в сучасному цифровому світі.
