|
ChMkK2f07yGIRwIZAAD0y9dtbC4AAq86AAZM3MAAPTj019.png
近日有消息显示,谷歌Chrome浏览器即将修复一个长达23年的漏洞。该漏洞可能允许网站通过检测网页链接的颜色来窥探用户的浏览历史记录。
据悉,修复这一问题的Chrome 136版本已于上周四被推送至Beta测试通道,并预计将在4月23日正式上线。这一漏洞涉及一种被称为“浏览器历史嗅探”的隐私攻击方式。攻击者可以通过在网页中嵌入大量链接,检查用户浏览器对这些链接的渲染颜色,从而判断用户是否访问过某些特定网站。
通常,未访问过的链接在浏览器中会显示为蓝色,而已经访问过的链接则会变为紫红色。攻击者可以利用这种颜色差异,推测出用户的浏览历史,并进一步实施定向广告投放等行为。
事实上,这种攻击方式早在2000年就被普林斯顿大学的研究人员在一篇名为Timing Attacks on Web Privacy的论文中提及。2002年,Mozilla团队成员David Baron提交了一份与此问题相关的错误报告。到了2009年,一家名为StartPanic的网站展示了一种通过链接颜色推断用户浏览历史的技术,引发了公众的广泛关注。
多年来,浏览器厂商虽然采取了一些缓解措施,但始终未能彻底解决问题。例如,2010年,Mozilla曾发表一篇文章,指出默认情况下,已访问链接和未访问链接的颜色差异仍可被网站读取。
为了解决这一问题,谷歌引入了一种名为“分区访问链接历史”的全新解决方案。该方案改变了浏览器存储和暴露已访问链接数据的方式。具体来说,浏览器不再维护一个全局列表,而是将已访问链接的数据以三元组的形式进行分区存储,包括链接URL、顶级网站域名以及渲染链接的框架来源。只有当这三个键完全匹配时,链接才会被 :visited CSS选择器应用样式化处理。这种方式显著提升了用户隐私保护的水平。 | 
发表于 
