Google a anunțat o actualizare importantă a browserului Chrome, versiunea 136, care abordează o vulnerabilitate de confidențialitate prezentă încă de la lansarea sa inițială în 2008. Această problemă permitea site-urilor web să obțină informații despre istoricul de navigare al utilizatorilor prin analizarea modului în care sunt afișate linkurile pe pagină.
Cum funcționa breșa de confidențialitate
Atunci când un utilizator vizitează un site web și face clic pe un link, Chrome, în mod convențional, marchează acel link ca fiind „vizitat”. Pentru a ajuta utilizatorii să navigheze mai eficient, browserul schimbă stilul vizual al acestor linkuri (de exemplu, culoarea, sublinierea) în paginile web unde apar ulterior.
Această funcționalitate, concepută pentru a îmbunătăți experiența utilizatorului, a fost abuzată de unii administratori de site-uri web pentru a urmări comportamentul online al utilizatorilor.
Un site web rău intenționat putea utiliza un script pentru a testa prezența stilurilor de „link vizitat” pentru un număr mare de linkuri (zeci sau sute). Prin această metodă, site-ul putea deduce ce pagini web a vizitat anterior utilizatorul, fără a accesa direct istoricul său de navigare. Aceasta este un exemplu de tehnică de „tracking” pasivă, deoarece nu necesită interacțiunea activă a utilizatorului, ci doar observarea comportamentului browserului.
Impactul asupra confidențialității
Această vulnerabilitate reprezenta o amenințare la adresa confidențialității utilizatorilor, deoarece permitea site-urilor web să construiască un profil al intereselor și obiceiurilor lor de navigare. Aceste informații ar putea fi utilizate pentru publicitate direcționată, urmărire online sau chiar pentru alte scopuri mai puțin etice.
Problema era persistentă și dificil de detectat de către utilizatorii obișnuiți, deoarece urmărirea se realiza în mod pasiv, fără a lăsa urme evidente.
Soluția Chrome 136: „Partiționarea cu trei-chei”
Google a abordat această problemă în Chrome 136 prin implementarea unei soluții inovatoare numite „partiționare cu trei-chei”. Această metodă modifică modul în care browserul stochează și aplică stilurile de „link vizitat”.
Partiționarea cu trei-chei implică luarea în considerare a trei factori distincti pentru a determina dacă un link ar trebui să fie afișat ca „vizitat”:
Adresa URL completă a linkului: Adresa specifică a paginii web la care se face legătura.
Site-ul de nivel superior (top-level site): Domeniul principal al site-ului web pe care se află utilizatorul (cel afișat în bara de adrese a browserului).
Contextul de navigare (Navigation context): Cadrul specific în care apare linkul, cum ar fi dacă se află într-un „iframe” (un cadru încorporat) sau într-o altă secțiune externă a paginii.
Cum funcționează partiționarea
Cu această metodă, un link vizitat pe un anumit site va fi marcat ca „vizitat” doar atunci când este afișat pe același site și în același context de navigare. Dacă același link apare pe un site web diferit, nu va fi afișat ca „vizitat”, chiar dacă utilizatorul l-a accesat anterior.
Această abordare elimină posibilitatea ca site-urile web să utilizeze stilurile de „link vizitat” pentru a obține informații despre istoricul de navigare al utilizatorilor de pe alte site-uri. Tehnici precum „întreb linkul dacă este colorat altfel” devin ineficiente, deoarece browserul nu mai dezvăluie această informație în afara contextului său original.
Partiționarea cu trei-chei reprezintă o îmbunătățire semnificativă a confidențialității online. Aceasta oferă utilizatorilor un control mai mare asupra informațiilor despre istoricul lor de navigare și reduce riscul de urmărire pasivă de către site-uri web rău intenționate.
Actualizarea Chrome 136, care include această remediere importantă, este programată pentru lansare la finalul lunii aprilie.