Casi todas las plataformas o servicios tienen sus propias vulnerabilidades de seguridad — y Chrome no es una excepción. Google ha corregido recientemente varios problemas graves que podrían haber dado a los atacantes acceso a datos sensibles en el navegador, y ahora está corrigiendo otro fallo importante.
Google ha parcheado una vulnerabilidad crítica en Chrome — una que en realidad ha existido desde el primer día y que permitía a terceros saber qué sitios has visitado.
El problema radicaba en una característica aparentemente sencilla: al hacer clic en un enlace, este cambia de color, de azul a morado (u otro color, según la configuración del sitio). Pero fue este detalle visual el que se convirtió en la base de un antiguo agujero de privacidad que podía «silenciosamente» delatar parte de tu historial de navegación.
Google explicó cómo funcionaba: los sitios podían dar estilo a los enlaces a través del selector :visited — y cambiar su apariencia si ya los habías seguido, independientemente de dónde lo hubieras hecho. De este modo, otros sitios podían ejecutar scripts que comprobaban qué enlaces ya se habían vuelto morados — y en realidad fisgoneaban dónde habías estado en Internet.
No se trata solo de privacidad. Google lo calificó de fallo profundo de arquitectura que creaba graves riesgos, desde la vigilancia y la elaboración de perfiles hasta la suplantación de identidad. La solución se retrasó, pero por fin la tenemos.
Cómo funcionaba la vulnerabilidad
Está navegando por el sitio A y hace clic en un enlace al sitio B. En este caso, el sitio B se guarda en el historial :visitado. Más tarde, visitas el sitio web Evil, que también tiene un enlace al sitio B. Sin restricciones, su navegador mostrará este enlace como ya visitado (:visited) — aunque no haya hecho clic en él en el sitio web del Mal. Evil puede entonces utilizar esta función para averiguar si el enlace aparece como :visitado —, lo que significa que usted ha visitado previamente el sitio B. Así es como fluía la información del historial de navegación.
La próxima actualización de Chrome introducirá un mecanismo de partición de triple clave. Esto significa que el navegador ya no hará un seguimiento global de los enlaces visitados. Chrome tendrá ahora en cuenta tres factores para determinar si un enlace ha sido visitado:
- la propia URL del enlace;
- sitio web de nivel superior (el que aparece en la barra de direcciones);
- el origen de la trama donde aparece el enlace.
En otras palabras, ahora un enlace se considerará visitado sólo si ha hecho clic en él antes en el mismo sitio web y en el mismo marco. Se acabó el rastreo complicado a través de otros sitios.
Así pues, con el lanzamiento de Chrome 136, previsto para finales de abril, Google acabará por fin con el problema de privacidad de hace 20 años cambiando por completo la forma en que muestra los enlaces visitados.
RecientementeChrome añadió herramientas para controlar «pestañas glotonas»y mejorar el rendimiento del navegador.
Fuente: phonearena
Spelling error report
The following text will be sent to our editors: