Nach zwei Jahrzehnten anhaltender Besorgnis unter Datenschutzbeauftragten und Web-Sicherheitsforschern, Google veröffentlicht endlich einen Fix für eine seit langem bestehende Sicherheitslücke in Chrom das den Browserverlauf der Benutzer stillschweigend offengelegt hat.
Das Problem liegt darin, wie Browser traditionell mit dem :visited CSS-Selektor, Ermöglicht Websites, visuell zwischen Links zu unterscheiden, auf die ein Benutzer zuvor geklickt hat, und solchen, auf die er nicht geklickt hat.. Obwohl es als Verbesserung der Benutzererfahrung, Diese Funktion wurde wiederholt ausgenutzt, um heimliche History-Sniffing-Angriffe durchzuführen.
Das Datenschutzleck erklärt
Der Kern des Problems liegt in der Fähigkeit des Browsers, Links so zu gestalten, :visited, Normalerweise ändert sich die Farbe von Blau nach Lila., ausschließlich basierend darauf, ob ein Benutzer zuvor auf den Link geklickt hat. Dieses Styling erfolgte unabhängig von der ursprünglichen Website, auf der die Interaktion stattfand, Bedeutung Jede Website könnte möglicherweise den Browserverlauf des Benutzers ableiten durch cleveres Scripting.
Über die Jahre, Forscher haben eine Reihe von Angriffen nachgewiesen, die diese Schwachstelle ausnutzen, einschließlich zeitbasierter Techniken, Scans auf Pixelebene, interaktionsbasiertes Tracking, und sogar die Ausnutzung zugrunde liegender Browserprozesse. Diese Angriffe ermöglichten es bösartigen Websites, herauszufinden, welche URLs ein Benutzer zuvor besucht hatte., was zu einer möglichen Profilerstellung führt, gezieltes Phishing, und invasives Tracking.
Chrom 136 Führt Triple-Key-Partitionierung ein
Mit der Veröffentlichung der Chrome-Version 136, Um das Problem ein für alle Mal zu lösen, führt Google eine umfassende Architekturänderung ein.. Der Browser verwendet nun eine Dreifach-Schlüssel-Trennsystem um Daten zu besuchten Links zu isolieren. Dieses System berücksichtigt:
- Die Ziel-Link-URL
- Die Top-Level-Site (d, Domäne in der Adressleiste)
- Der Frame-Ursprung, in dem der Link gerendert wird
Dieses Update bedeutet, dass ein Link nur dann als besucht angezeigt wird, wenn er innerhalb derselben Site und desselben Frame-Ursprungs angeklickt wurde – effektiv Eliminierung des Cross-Site-Trackings durch :besuchte Stile.
Zur Aufrechterhaltung der Benutzerfreundlichkeit, Google hat eine “Selbstlinks” Ausnahme. Dadurch wird sichergestellt, dass Links, die ein Benutzer innerhalb einer Site angeklickt hat, auch dann noch als besucht angezeigt werden, wenn er zu derselben Site zurückkehrt., auch wenn der Link ursprünglich woanders angeklickt wurde. Da die Site bereits weiß, welche Seiten besucht wurden, Diese Ausnahme stellt kein zusätzliches Datenschutzrisiko dar.
Google schloss radikalere Ansätze wie die Abwertung aus :visited vollständig – aufgrund des Verlusts hilfreicher UX-Indikatoren – oder berechtigungsbasierte Modelle, die missbraucht oder leicht umgangen werden könnten.
So aktivieren Sie die Funktion vor Chrome 136
Obwohl die vollständige Bereitstellung mit Chrome erwartet wird 136, Benutzer auf Versionen 132 durch 135 Sie können die Funktion manuell aktivieren, indem Sie zu:
chrome://flags/#partition-visited-link-database-with-self-links
Setzen Sie das Flag auf „Aktiviert“, um das neue Isolationssystem einzuschalten. Notiz, jedoch, dass die Funktion noch experimentell ist und möglicherweise nicht auf allen Websites oder in allen Anwendungsfällen einheitlich funktioniert.
Ab jetzt, Konkurrierende Browser wie Firefox und Safari bieten teilweisen Schutz, wie etwa die Einschränkung von Stiländerungen und Skriptzugriff, aber implementieren Sie nicht die gleiche Art der Partitionierung, lässt Raum für ausgeklügelte Angriffe. Bei breiter Akzeptanz, Der neue Ansatz von Chrome könnte einen neuen Maßstab für den Browser-Datenschutz setzen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: