Компанія Google виправила серйозну проблему безпеки у браузері Chrome, яка існувала понад два десятиліття. Ця вразливість дозволяла стороннім сайтам дізнаватися, які інші вебресурси відвідував користувач, шляхом аналізу кольору посилань. Проблема була присутня в системі з початку 2000-х років і становила загрозу приватності користувачів інтернету.
Щоб показати посилання, які користувач відвідував раніше (вони позначаються фіолетовим кольором), браузер має відстежувати ці сторінки за допомогою каскадних таблиць стилів через селектор . Як пояснили в Google, суть помилки полягала в тому, що інформація про відвідані користувачем посилання зберігалася без розмежування конфіденційності між відвідуваними сайтами. Тобто будь-який сайт міг визначити, чи було раніше натиснуте певне посилання, навіть якщо воно відображалося на абсолютно іншому ресурсі.
«Ви переглядаєте сайт A і клікаєте по посиланню на сайт B. Пізніше ви заходите на умовно шкідливий сайт C, який теж містить посилання на сайт B. Він може дізнатися, що ви вже були на сайті B, просто визначивши посилання за кольором», — пояснили в Google.
У компанії назвали це фундаментальною помилкою дизайну браузера і підкреслили, що вона могла застосовуватися для відстеження активності користувачів в інтернеті. Вразливість зачіпала не лише Chrome, але й інші браузери — зокрема, Safari, Opera, Internet Explorer та Firefox, повідомляє PCMag.
Вперше на проблему звернув увагу дослідник безпеки Ендрю Кловер (Andrew Clover) ще у 2002 році. Він візуально продемонстрував усі етапи можливої атаки, спираючись на дослідницьку статтю Прінстонського університету «Timing Attacks on Web Privacy». Виправлення вже включене в бета-версію оновлення Chrome 136. Тепер інформація про відвідані посилання зберігатиметься окремо для кожного сайту і не передаватиметься між ресурсами.
Джерело chrome.com