Майже кожна платформа чи сервіс мають свої вразливості в системі безпеки — і Chrome не виняток. Нещодавно Google вже усунула кілька серйозних проблем, які могли дати зловмисникам доступ до конфіденційних даних у браузері, а тепер виправляє ще одну важливу помилку.

Google усунула критичну вразливість у Chrome — ту, що фактично існувала ще з першого дня і дозволяла стороннім дізнаватися, які сайти ви відвідували.

Проблема крилася в, здавалося б, простій функції: коли ви натискаєте на посилання, воно змінює колір з синього на фіолетовий (чи інший, залежно від налаштувань сайта). Але саме ця візуальна деталь стала основою для багаторічної дірки у приватності, яка могла «тихо» видавати частину вашої історії переглядів.

Google пояснила, як це працювало: сайти могли стилізувати посилання через селектор :visited — і змінювати їхній вигляд, якщо ви вже переходили за ними, незалежно від того, де саме ви це зробили. Таким чином, інші сайти могли запускати скрипти, які перевіряли, які посилання вже стали фіолетовими — і фактично підглядати, де ви бували в інтернеті.

Йдеться не лише про конфіденційність. Google назвала це «глибинним недоліком архітектури», який створював серйозні ризики — від стеження й профілювання до фішингу. Виправлення затяглося, але нарешті ми дочекалися.

Як працювала вразливість

Ви переглядаєте сайт A і натискаєте посилання на сайт B. У такому разі сайт B зберігається в історії :visited. Пізніше ви заходите на сайт Evil, який теж має посилання на сайт B. Без обмежень, браузер покаже це посилання як вже відвідане (:visited) — навіть якщо ви не натискали його саме на сайті Evil. Далі сайт Evil може використати цю особливість, щоб дізнатися, чи посилання виглядає як :visited — тобто, що ви раніше були на сайті B. Так витікала інформація з історії переглядів.

У черговому оновленні Chrome з’явиться механізм розділення контексту triple-key partitioning. Це означає, що браузер більше не відстежуватиме відвідані посилання глобально. Тепер Chrome враховуватиме три чинники, щоб визначити, чи було посилання відвідано:

• саму URL-адресу посилання;
• сайт верхнього рівня (той, що в адресному рядку);
• походження фрейму, де з’являється посилання.

Інакше кажучи, тепер посилання вважатиметься відвіданим лише якщо ви натискали на нього раніше на тому ж сайті та у тому ж фреймі. Жодного хитрого відстеження через інші сайти більше не буде.

Отже, з виходом Chrome 136, який запланований на кінець квітня, Google нарешті покладе край 20-річній проблемі з приватністю, повністю змінивши підхід до відображення відвіданих посилань.

Нещодавно Chrome додав інструменти для контролю «вкладок-ненажер» і підвищення продуктивності браузера.

Google Chrome отримав режим багатозадачності: як увімкнути та використовувати?

Джерело: phonearena