Casa > cibernético Notícias > After 20 Anos, Google corrige grande vulnerabilidade de privacidade na web
CYBER NEWS

Depois de 20 Anos, Google corrige grande vulnerabilidade de privacidade na web

por   |  Última atualização:  |  0 Comentários  

Após duas décadas de preocupação persistente entre os defensores da privacidade e pesquisadores de segurança da web, O Google finalmente está lançando uma correção para uma vulnerabilidade de longa data no cromada que expôs silenciosamente o histórico de navegação dos usuários.

O problema decorre da forma como os navegadores tradicionalmente lidam com o :visited Seletor CSS, permitindo que os sites distingam visualmente entre links nos quais um usuário clicou anteriormente e aqueles nos quais não clicou. Embora pretendido como um aprimoramento da experiência do usuário, esse recurso tem sido explorado repetidamente para realizar ataques furtivos de detecção de histórico.

cromada 136 Corrige bug de privacidade de 20 anos que expôs seu histórico de navegação

O vazamento de privacidade explicado

No cerne do problema está a capacidade do navegador de estilizar links como :visited, geralmente mudando sua cor de azul para roxo, com base apenas no fato de um usuário ter clicado no link antes. Essa estilização ocorreu independentemente do site original onde a interação ocorreu, significado qualquer site poderia potencialmente deduzir o histórico de navegação do usuário por meio de scripts inteligentes.

Ao longo dos anos, pesquisadores demonstraram uma série de ataques aproveitando essa vulnerabilidade, incluindo técnicas baseadas em tempo, varreduras em nível de pixel, rastreamento baseado em interação, e até mesmo explorando processos subjacentes do navegador. Esses ataques permitiram que sites maliciosos detectassem quais URLs um usuário havia visitado anteriormente, levando a um potencial perfilamento, phishing direcionado, e rastreamento invasivo.

cromada 136 Apresenta o particionamento de chave tripla

Com o lançamento da versão do Chrome 136, O Google está introduzindo uma grande mudança arquitetônica para resolver o problema de uma vez por todas. O navegador agora usará um sistema de particionamento de chave tripla para isolar dados de links visitados. Este sistema considera:

  • O URL do link de destino
  • O site de nível superior (i.e., domínio na barra de endereço)
  • A origem do quadro onde o link é renderizado

Esta atualização significa que um link só aparecerá como visitado se tiver sido clicado no mesmo site e na mesma origem do quadro — efetivamente eliminando o rastreamento entre sites por meio de :estilos visitados.




Para manter a usabilidade, O Google incluiu um “auto-links” exceção. Isso garante que os links nos quais um usuário clicou dentro de um site ainda aparecerão como visitados ao retornar ao mesmo site., mesmo que o link tenha sido clicado originalmente em outro lugar. Como o site já sabe quais páginas foram visitadas, esta exceção não representa riscos adicionais de privacidade.

O Google descartou abordagens mais radicais, como a descontinuação :visited inteiramente - devido à perda de indicadores UX úteis - ou modelos baseados em permissão, que poderia ser abusado ou facilmente ignorado.

Como habilitar o recurso antes do Chrome 136

Embora a implantação completa seja esperada com o Chrome 136, usuários em versões 132 através 135 pode habilitar manualmente o recurso navegando até:

chrome://flags/#partition-visited-link-database-with-self-links

Defina o sinalizador como “Habilitado” para ativar o novo sistema de isolamento. Nota, Contudo, que o recurso ainda é experimental e pode não se comportar de forma consistente em todos os sites ou casos de uso.

A partir de agora, navegadores concorrentes como Firefox e Safari oferecem proteções parciais, como restringir mudanças de estilo e acesso ao script, mas não implementam o mesmo tipo de particionamento, deixando algum espaço para ataques sofisticados. Se amplamente adotado, A nova abordagem do Chrome pode estabelecer um novo padrão em privacidade do navegador.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. Google se recusou a remendar uma vulnerabilidade no Chrome Android para 3 Anos Google has just fixed a three-year old vulnerability in Chrome...
  2. CVE-2018-20250: Uma vulnerabilidade WinRAR Encontrado depois 19 Anos de Exploração Possível Uma equipe de segurança anunciou a descoberta de um ...
  3. CVE-2020-13777: Vulnerabilidade no GnuTLS Hiding for 2 Anos CVE-2020-13777 é uma vulnerabilidade no GnuTLS, um amplamente adotado, abrir...
  4. CVE-2016-8939, a vulnerabilidade de TSM que a IBM negligenciou para 2 Anos Por um motivo ou outro, companies often choose to fix...
  5. Google Patches grave Gmail “DOM clobbering” Bug de segurança Google has patched a dangerous vulnerability in Gmail which is...
  6. Wikipedia sofre um major ataque DDoS Wikipedia sofreu um grande ataque DDoS. The attack took...
  7. Coldroot MacOS RAT e Keylogger passa despercebida para Anos Coldroot é um Trojan de acesso remoto (RATO) isso já foi...
  8. A Bíblia de Segurança do Usuário do Windows: Vulnerabilidades e patches Se você é um daqueles usuários conscientes que se familiarizam...

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo