Después de dos décadas de preocupación persistente entre los defensores de la privacidad y los investigadores de seguridad web, Google finalmente está implementando una solución para una vulnerabilidad de larga data en Cromo que ha expuesto silenciosamente el historial de navegación de los usuarios.
El problema surge de cómo los navegadores han manejado tradicionalmente el :visited Selector CSS, Permitir que los sitios web distingan visualmente entre los enlaces en los que un usuario ha hecho clic previamente y aquellos en los que no.. Aunque se concibió como una mejora de la experiencia del usuario, Esta característica ha sido explotada repetidamente para realizar ataques sigilosos de rastreo del historial..
La fuga de privacidad explicada
En el centro del problema se encuentra la capacidad del navegador para aplicar estilo a los enlaces. :visited, Generalmente cambian de color de azul a morado., Basado únicamente en si un usuario ha hecho clic en el enlace antes. Este estilo se produjo independientemente del sitio web original donde tuvo lugar la interacción., sentido Cualquier sitio web podría potencialmente deducir el historial de navegación del usuario a través de scripts inteligentes.
A traves de Los años, Los investigadores han demostrado una variedad de ataques que aprovechan esta vulnerabilidad., Incluyendo técnicas basadas en el tiempo, escaneos a nivel de píxel, seguimiento basado en la interacción, e incluso explotar los procesos subyacentes del navegador.. Estos ataques permitieron que sitios web maliciosos detectaran qué URL había visitado previamente un usuario., lo que lleva a una posible elaboración de perfiles, phishing dirigido, y seguimiento invasivo.
Cromo 136 Presenta el particionamiento de triple clave
Con el lanzamiento de la versión Chrome 136, Google está introduciendo un importante cambio arquitectónico para solucionar el problema de una vez por todas.. El navegador ahora utilizará un sistema de particionamiento de triple clave Para aislar los datos de enlaces visitados. Este sistema considera:
- La URL del enlace de destino
- El sitio de nivel superior (es decir, dominio en la barra de direcciones)
- El origen del marco donde se representa el enlace
Esta actualización significa que un enlace solo aparecerá como visitado si se hizo clic en él dentro del mismo sitio y origen del marco, efectivamente. eliminando el seguimiento entre sitios a través de :estilos visitados.
Para mantener la usabilidad, Google ha incluido un “autoenlaces” excepción. Esto garantiza que los enlaces en los que un usuario hizo clic dentro de un sitio seguirán apareciendo como visitados cuando regrese a ese mismo sitio., Incluso si el enlace se hizo clic originalmente en otro lugar. Dado que el sitio ya sabe qué páginas fueron visitadas, Esta excepción no supone riesgos adicionales para la privacidad..
Google descartó enfoques más radicales como la depreciación :visited completamente—debido a la pérdida de indicadores UX útiles—o modelos basados en permisos, que podrían ser objeto de abuso o fácilmente eludidos.
Cómo habilitar la función antes de Chrome 136
Aunque se espera una implementación completa con Chrome 136, usuarios en versiones 132 mediante 135 Puede habilitar la función manualmente navegando a:
chrome://flags/#partition-visited-link-database-with-self-links
Establezca la bandera en “Habilitado” para activar el nuevo sistema de aislamiento. Nota, sin embargo, que la función aún es experimental y puede que no se comporte de manera uniforme en todos los sitios web o casos de uso.
A partir de ahora, Los navegadores de la competencia, como Firefox y Safari, ofrecen protecciones parciales, como restringir los cambios de estilo y el acceso al script, pero no implementan el mismo tipo de partición, dejando algo de espacio para ataques sofisticados. Si se adopta ampliamente, El nuevo enfoque de Chrome puede establecer un nuevo punto de referencia en la privacidad del navegador.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: