Huis > Cyber ​​Nieuws > After 20 jaren, Google repareert groot beveiligingslek op het gebied van webprivacy
CYBER NEWS

Na 20 jaren, Google repareert groot beveiligingslek op het gebied van webprivacy

door   |  Last Update:  |  0 Reacties  

Na twee decennia van aanhoudende bezorgdheid onder privacy-activisten en webbeveiligingsonderzoekers, Google rolt eindelijk een oplossing uit voor een al lang bestaande kwetsbaarheid in Chrome die stilletjes de browsegeschiedenis van gebruikers heeft blootgelegd.

Het probleem is het gevolg van de manier waarop browsers traditioneel omgaan met de :visited CSS-selector, waardoor websites visueel onderscheid kunnen maken tussen links waarop een gebruiker eerder heeft geklikt en links waarop dat niet het geval is. Hoewel bedoeld als een verbetering van de gebruikerservaring, Deze functie is herhaaldelijk misbruikt om heimelijke geschiedenis-sniffing-aanvallen uit te voeren.

Chrome 136 Repareert een privacybug die 20 jaar oud was en uw browsegeschiedenis blootlegde

Het privacylek uitgelegd

De kern van het probleem ligt in het vermogen van de browser om links te stylen als :visited, meestal veranderen ze hun kleur van blauw naar paars, uitsluitend gebaseerd op de vraag of een gebruiker eerder op de link heeft geklikt. Deze styling vond plaats ongeacht de oorspronkelijke website waar de interactie plaatsvond, betekenis elke website zou potentieel de browsegeschiedenis van de gebruiker kunnen afleiden door middel van slimme scripting.

In de loop der jaren, onderzoekers hebben een reeks aanvallen aangetoond die gebruikmaken van deze kwetsbaarheid, inclusief timing-gebaseerde technieken, scans op pixelniveau, interactie-gebaseerde tracking, en zelfs het exploiteren van onderliggende browserprocessen. Met deze aanvallen konden kwaadaardige websites detecteren welke URL's een gebruiker eerder had bezocht, wat leidt tot potentiële profilering, gerichte phishing, en invasieve tracking.

Chrome 136 Introduceert Triple-Key Partitioning

Met de release van de Chrome-versie 136, Google introduceert een grote architectuurwijziging om het probleem eens en voor altijd aan te pakken. De browser zal nu een triple-key partitiesysteem om bezochte linkgegevens te isoleren. Dit systeem houdt rekening met:

  • De doellink-URL
  • De site op het hoogste niveau (d.w.z., domein in de adresbalk)
  • De oorsprong van het frame waar de link wordt weergegeven

Deze update betekent dat een link alleen als bezocht wordt weergegeven als erop is geklikt binnen dezelfde site en frame-oorsprong. het elimineren van cross-site tracking door :bezochte stijlen.




Om de bruikbaarheid te behouden, Google heeft een “zelfkoppelingen” uitzondering. Dit zorgt ervoor dat links waarop een gebruiker binnen een site heeft geklikt, nog steeds als bezocht worden weergegeven wanneer hij/zij naar dezelfde site terugkeert., zelfs als er oorspronkelijk ergens anders op de link is geklikt. Omdat de site al weet welke pagina's zijn bezocht, deze uitzondering brengt geen extra privacyrisico's met zich mee.

Google heeft radicalere benaderingen zoals het afschaffen van :visited volledig – vanwege het verlies van nuttige UX-indicatoren – of op toestemming gebaseerde modellen, die misbruikt of gemakkelijk omzeild kunnen worden.

Hoe u de functie inschakelt vóór Chrome 136

Hoewel volledige implementatie met Chrome wordt verwacht 136, gebruikers op versies 132 door 135 U kunt de functie handmatig inschakelen door naar:

chrome://flags/#partition-visited-link-database-with-self-links

Zet de vlag op “Ingeschakeld” om het nieuwe isolatiesysteem in te schakelen. Aantekening, echter, dat de functie nog experimenteel is en mogelijk niet consistent werkt op alle websites of in alle gebruiksgevallen.

Vanaf nu, concurrerende browsers zoals Firefox en Safari bieden gedeeltelijke bescherming, zoals het beperken van stijlwijzigingen en scripttoegang, maar implementeer niet hetzelfde soort partitionering, waardoor er ruimte overblijft voor geavanceerde aanvallen. Als het op grote schaal wordt toegepast, De nieuwe aanpak van Chrome kan een nieuwe maatstaf worden voor browserprivacy.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Gerelateerde berichten:
  1. Google weigerde om een ​​Patch in Android Chrome voor 3 jaren Google has just fixed a three-year old vulnerability in Chrome...
  2. CVE-2018-20.250: WinRAR ontdekte kwetsbaarheid na 19 Jaren van Mogelijke Exploitation Een beveiligingsteam heeft de ontdekking van een kritieke....
  3. CVE-2020-13777: Kwetsbaarheid in GnuTLS Hiding for 2 jaren CVE-2020-13777 is een kwetsbaarheid in GnuTLS, een algemeen aangenomen, open...
  4. CVE-2016-8939, de TSM Vulnerability IBM Verwaarloosde voor 2 jaren Voor één of andere reden, companies often choose to fix...
  5. Google Patches Ernstige Gmail “DOM beuken” security Bug Google has patched a dangerous vulnerability in Gmail which is...
  6. Wikipedia Lijdt een Major DDoS-aanval Wikipedia is een grote DDoS-aanval leed. The attack took...
  7. Coldroot MacOS RAT en Keylogger onopgemerkt blijft voor de komende jaren Coldroot is een remote access Trojan (RAT) dat was...
  8. De Windows-gebruiker Beveiliging Bijbel: Kwetsbaarheden en patches Als u een van die bewuste gebruikers bent die zichzelf kennen...

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens