Google внедряет механизм разделения посещённых ссылок в Chrome, что делает его первым веб-браузером, который полностью защищён от уязвимостей, связанных с посещёнными страницами. Это обновление также будет доступно в других браузерах на базе Chromium, таких как Vivaldi и Microsoft Edge.
Скорее всего, вы заметили, что некоторые ссылки на веб-страницах меняют цвет на фиолетовый или другой визуальный индикатор после того, как вы посещаете связанную страницу. Как и многие другие функции, внедрённые веб-браузерами за прошедшие годы, это случайно стало отличным способом отслеживания пользователей в интернете, когда они перемещаются по различным веб-страницам.
Как работает уязвимость безопасности
Веб-браузеры позволяют сайтам настраивать внешний вид текста и других элементов с помощью CSS-селекторов. Например, веб-сайт может применять стили к элементу ‘.dropdown input’ для изменения всех элементов ввода в выпадающем списке, вместо того чтобы использовать идентификаторы или классы для каждого отдельного элемента. Селектор ‘:visited’ позволяет веб-страницам применять стили к ссылкам на страницы, которые вы уже посетили, что удобно для изменения стандартного фиолетового цвета или добавления других эффектов.
Однако возможность идентифицировать посещённые ссылки имеет и свои недостатки. Зловредная страница может включать сотни или тысячи ссылок, и проверяя, какие из них соответствуют селектору :visible, она может создать частичную запись вашей истории просмотров на различных сайтах.
Современные веб-браузеры уже имеют несколько механизмов защиты, чтобы предотвратить такое поведение, например, предоставляя пустые данные, когда веб-страницы запрашивают список :visible элементов, и ограничивая стили, которые могут быть применены к :visible элементам. Однако эти меры не полностью устраняют уязвимости. Google отметил: «по мере увеличения возможностей настройки посещённых ссылок также возросло число атак, выявленных исследователями в области безопасности».
Как Chrome это исправил
Решение Google заключается в системе изоляции для :visited ссылок, которая отделяет историю ссылок для каждого конкретного веб-сайта, вместо того чтобы хранить их в одном и том же списке, к которому потенциально может получить доступ любой сайт. Это уже то, как работает локальное хранилище и многие другие API браузеров.
Компания заявила в блоге: «Вы находитесь на сайте A и кликаете на ссылку, чтобы перейти на сайт B, комбинация "Сайт A Сайт B" сохраняется в вашей истории :visited. Таким образом, когда вы посещаете Сайт Zло, его ссылка на Сайт B не будет отображаться как :visited, потому что она не соответствует обеим частям нашей записи "Сайт A Сайт B" (контексту, в котором вы изначально кликнули по ссылке). Поскольку у Сайта Zло нет записей о ваших просмотрах, он не может воспользоваться никакими уязвимостями. Таким образом, ваша история браузера остаётся в безопасности!»
Эта система изоляции должна полностью заблокировать любые потенциальные уязвимости, связанные с :visited ссылками. Google также обсуждал возможность отмены предыдущих мер безопасности, так как они больше не нужны, но это «дальнейшая работа», которая может занять некоторое время.
Скоро в Chrome 136
Google сообщает, что разделение посещённых ссылок будет доступно в Chrome 136, который планируется частично выпустить 23 апреля 2025 года, а полностью — 29 апреля 2025 года. Предполагается, что другие веб-браузеры, основанные на том же исходном коде Chromium (такие как Vivaldi, Edge, Opera и т.д.), получат эту функцию после обновления до Chromium 136 или более новой версии.
Mozilla поддерживает разделение посещённых ссылок, но неясно, когда Firefox сможет реализовать ту же функцию — это предложение было сделано впервые восемь лет назад. Команда WebKit от Apple также одобрила эту идею, но не подтверждено, когда она может появиться в Safari.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Вы также можете читать наши материалы в:
- Telegram: https://t.me/gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru