本站4月8日消息,谷歌Chrome瀏覽器即將修復一個存在了23年之久的漏洞,該漏洞允許網站通過檢測網頁鏈接顏色來窺探用戶的瀏覽歷史。
這一漏洞的修復版本Chrome 136已于上周四推送至Beta通道,預計將于4月23日正式發布。
瀏覽器歷史嗅探(Browser History Sniffing)是一種隱私攻擊方式,攻擊者通過在網頁上放置大量鏈接,并檢查用戶瀏覽器渲染這些鏈接的顏色,從而判斷用戶是否訪問過某些特定網站。
通常情況下,未訪問的鏈接顯示為藍色,而訪問過的鏈接會變成紫紅色,攻擊者利用這一特性,可以推斷出用戶的瀏覽歷史,進而推送定向廣告。
這種攻擊方式早在2000年就被普林斯頓大學的研究人員在論文《Timing Attacks on Web Privacy》中提及。
2002年,Mozilla工作人員David Baron提交了關于該問題的錯誤報告,2009 年,一個名為StartPanic的網站展示了如何通過鏈接顏色推斷用戶的瀏覽歷史,引發了公眾關注。
瀏覽器廠商也采取了一些緩解措施,但這些措施并未徹底解決問題,2010年,Mozilla發布了一篇博客文章,指出默認情況下已訪問鏈接和未訪問鏈接的顏色差異可以被網站讀取。
谷歌采用了一種名為“分區訪問鏈接歷史”的新解決方案,該方案改變了瀏覽器存儲和暴露已訪問鏈接數據的方式。
具體而言,瀏覽器不再維護一個全局列表,而是將已訪問鏈接存儲為一個三元組分區,包括鏈接 URL、頂級網站域和渲染鏈接的框架來源,只有這三個鍵完全匹配時,鏈接才會被 :visited CSS選擇器樣式化。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
