گوگل نقص امنیتی مهمی را در مرورگر کروم برطرف کرده است که بهطور بالقوه امکان ردیابی کاربران را برای مدت طولانی فراهم میکرد.
به گزارش تکناک، گوگل اخیراً یکی از آسیبپذیریهای قدیمی مرورگر کروم را برطرف کرده است که از ابتدای عرضه این مرورگر وجود داشته و امکان ردیابی فعالیتهای کاربران در وب را فراهم میکرد. این نقص امنیتی به قابلیتی ساده، اما حیاتی مربوط میشود: رنگ بنفش لینکهای بازدیدشده.
اگر تابهحال متوجه شدهاید که لینکهای کلیکشده در مرورگر بهجای آبی، به رنگ بنفش درمیآیند، باید بدانید همین ویژگی ظاهراً بیخطر، منشأ حفرهای بوده که به وبسایتهای مخرب اجازه میداده تا سابقه مرور وب شما را مشاهده کنند.
فونآرنا مینویسد گوگل در پستی رسمی توضیح داده است که چگونه مهاجمان میتوانند با استفاده از دستور CSS به نام «:visited» از تغییر رنگ لینکها برای شناسایی آدرسهایی سوءاستفاده کنند که قبلاً کاربر بازدید کرده است. برای مثال، اگر کاربر ابتدا در وبسایت A روی لینکی به سایت B کلیک کند و سپس وارد وبسایت مخرب دیگری شود، آن سایت میتواند با بررسی تغییر رنگ لینکها بفهمد کاربر قبلاً به کدام وبسایتها سر زده است.
گوگل این مشکل را نهتنها نقض حریم خصوصی، بلکه «نقص طراحی بنیادی» توصیف کرده است که میتواند زمینهساز حملاتی نظیر ردیابی، پروفایلسازی و فیشینگ باشد. اگرچه رفع این آسیبپذیری زمانبر بوده، سرانجام راهکار آن از راه رسیده است.
بهروزرسانی جدید مرورگر کروم که در نسخه ۱۳۶ ارائه میشود، با معرفی سازوکاری به نام Triple-Key Partitioning، نحوه تشخیص لینکهای بازدیدشده را بازطراحی میکند. ازاینپس، کروم تنها در شرایط زیر لینکی را بهعنوان بازدیدشده نشان میدهد:
- آدرس دقیق آن لینک یکسان باشد.
- سایت اصلی (Top-Level Site) مشابه باشد.
- لینک در همان فریم (Frame Origin) ظاهر شده باشد.
این تغییر باعث میشود تا وبسایتهای ثالث نتوانند ازطریق بررسی رنگ لینکها به تاریخچه مرور شما دست پیدا کنند و ردیابی بینسایتی غیرممکن شود. نسخه ۱۳۶ مرورگر کروم با این اصلاح مهم در اواخر آوریل منتشر خواهد شد و یکی از دغدغههای امنیتی قدیمی در فضای مرورگرها را به پایان خواهد رساند.
