プライバシー擁護者とウェブセキュリティ研究者の間で20年間にわたり懸念が続いてきた, Googleはついに、長年存在していた脆弱性に対する修正を公開した。 クロム ユーザーの閲覧履歴を静かに公開した.
この問題は、ブラウザが従来どのように処理してきたかに起因しています。 :visited CSSセレクター, ウェブサイトがユーザーが以前にクリックしたリンクとクリックしていないリンクを視覚的に区別できるようにする. 意図としては ユーザーエクスペリエンスの向上, この機能は、ステルス的な履歴スニッフィング攻撃を実行するために繰り返し悪用されてきました。.
プライバシー漏洩の解説
問題の核心は、ブラウザがリンクを次のようにスタイル設定する機能にある。 :visited, 典型的には、色が青から紫に変わります, ユーザーが以前にリンクをクリックしたかどうかのみに基づいて. このスタイリングは、インタラクションが行われた元のウェブサイトに関係なく発生しました。, 意味 どのウェブサイトでもユーザーの閲覧履歴を推測できる可能性がある 巧みな脚本を通して.
長年にわたって, 研究者らはこの脆弱性を利用したさまざまな攻撃を実証した。, タイミングベースの技術を含む, ピクセルレベルのスキャン, インタラクションベースの追跡, さらにはブラウザの基盤となるプロセスを悪用する. これらの攻撃により、悪意のあるウェブサイトはユーザーが以前に訪問したURLを検出できるようになりました。, 潜在的なプロファイリングにつながる, 標的型フィッシング, 侵襲的な追跡.
クロム 136 トリプルキーパーティショニングを導入
Chrome版のリリースに伴い 136, Googleは、この問題に完全に対処するために、アーキテクチャの大幅な変更を導入しています。. ブラウザは、 トリプルキーパーティションシステム 訪問したリンクデータを分離する. このシステムは、:
- ターゲットリンクURL
- トップレベルサイト (すなわち, アドレスバーのドメイン)
- リンクがレンダリングされるフレームの原点
このアップデートにより、リンクは同じサイトとフレームのオリジン内でクリックされた場合にのみ訪問済みとして表示されるようになります。 サイト間トラッキングを排除 :訪問したスタイル.
使いやすさを維持するため, Googleは “自己リンク” 例外. これにより、ユーザーがサイト内でクリックしたリンクは、同じサイトに戻ったときにも訪問済みとして表示されます。, リンクが元々他の場所でクリックされたとしても. サイトはすでにどのページが訪問されたかを知っているので, この例外は追加のプライバシーリスクをもたらさない.
Googleは、より過激なアプローチを否定した。 :visited 完全に(役立つUXインジケーターの喪失のため)または許可ベースのモデル, 悪用されたり、簡単に回避されたりする可能性がある.
Chromeより先に機能を有効にする方法 136
Chromeで完全な展開が期待されていますが 136, バージョンごとのユーザー 132 終えた 135 手動でこの機能を有効にするには、:
chrome://flags/#partition-visited-link-database-with-self-links
新しい隔離システムをオンにするには、フラグを「有効」に設定します. ノート, でも, この機能はまだ実験段階であり、すべてのウェブサイトや使用例で一貫して動作しない可能性があります。.
今のところ, FirefoxやSafariなどの競合ブラウザは部分的な保護を提供している, スタイルの変更やスクリプトのアクセスを制限するなど, しかし、同じ種類のパーティショニングを実装していない, 高度な攻撃の余地を残す. 広く採用されれば, Chromeの新しいアプローチはブラウザのプライバシーにおける新たな基準を確立するかもしれない.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: