Η Google καθορίζει ένα μακροχρόνιο ζήτημα απορρήτου που, εδώ και χρόνια, επέτρεψε στους ιστότοπους να καθορίζουν το ιστορικό περιήγησης των χρηστών μέσω των συνδέσμων που επισκέφτηκαν προηγουμένως.
Το πρόβλημα προκύπτει από το να επιτρέπεται στους ιστότοπους σε συνδέσμους στυλ ως «επισκέφθηκε», που σημαίνει ότι τους δείχνονται ως ένα άλλο χρώμα αντί για το προεπιλεγμένο μπλε, εάν ένας χρήστης είχε κάνει κλικ στο παρελθόν.
Το σύστημα εμφανίζει αυτήν την αλλαγή χρώματος ανεξάρτητα από τον ιστότοπο που βρίσκονταν όταν έκαναν κλικ στο σύνδεσμο, επιτρέποντας σε άλλους ιστότοπους να χρησιμοποιούν ενδεχομένως δημιουργικά σενάρια που διαρρέουν το ιστορικό περιήγησης του χρήστη.
Πηγή: Google
Το ζήτημα δεν είναι μόνο μια θεωρητική ανησυχία για την προστασία της ιδιωτικής ζωής για τους χρήστες, αλλά εισάγει επίσης μια σειρά πραγματικών υποχρεώσεων ασφαλείας που επιτρέπουν την παρακολούθηση, το προφίλ και το phishing.
Οι ερευνητές κατέδειξαν πολλαπλές κατηγορίες επιθέσεων στο παρελθόν που συνδέονται με αυτό το χάσμα απορρήτου, συμπεριλαμβανομένων συγχρονισμόςPixel, αλληλεπίδραση χρήστη, σε επίπεδο διαδικασίας επιθέσεις.
Η επερχόμενη έκδοση του Google Chrome, αριθμός έκδοσης 136, θα αντιμετωπίσει τελικά το πρόβλημα των 20 ετών με την εφαρμογή α διαχωρισμός τριπλού κλειδιού των “επισκέψεων” συνδέσμων.
Αντί να αποθηκεύουν επισκέψεις συνδέσμων παγκοσμίως, το Chrome χωρίζει τώρα κάθε σύνδεσμο που επισκέφθηκε χρησιμοποιώντας τρία κλειδιά, δηλαδή τη διεύθυνση URL σύνδεσης (στόχο σύνδεσης), την τοποθεσία ανώτατου επιπέδου (τομέας γραμμής διευθύνσεων) και την προέλευση πλαισίου (προέλευση του πλαισίου όπου παρέχεται ο σύνδεσμος).
Αυτό εξασφαλίζει ότι ένας σύνδεσμος θα εμφανιστεί μόνο ως: επισκέπτεται στον ίδιο ιστότοπο και στην ίδια προέλευση πλαισίου όπου ο χρήστης είχε κλικ στο κουμπί του, εξαλείφοντας τις διαρροές ιστορικού σταυροειδούς.
Πηγή: Google
Για να διατηρηθεί η χρηστικότητα, η Google πρόσθεσε μια εξαίρεση “self-links”, οπότε οι συνδέσμους ενός ιστότοπου θα εξακολουθούν να σημειώνονται όπως επισκέπτονται σε αυτόν τον ιστότοπο, ακόμη και αν ο χρήστης τους έκανε κλικ από έναν διαφορετικό ιστότοπο.
Ένας ιστότοπος γνωρίζει ήδη ποιες σελίδες έχει επισκεφθεί ο χρήστης, οπότε αυτή η εξαίρεση δεν εισάγει μια ανεπιθύμητη διαρροή ιστορικού.
Η Google αναφέρει ότι η πλήρης απόρριψη του: Επισκέπτης Επιλογής θα εξαλείψει πολύτιμες ενδείξεις UX, έτσι ώστε να αποκλείστηκε από η πρότασηστόχοι. Μια άλλη απορριφθείσα λύση ήταν να χρησιμοποιηθεί ένα μοντέλο που βασίζεται σε δικαιώματα, καθώς αυτό θα ήταν εύκολο να παρακάμψει ή ακόμα και την κατάχρηση από τους ιστότοπους χειραγώγησης.
Πώς να ενεργοποιήσετε
Το νέο: Η επίσκεψη απομόνωσης εισήχθη ως πειραματικό χαρακτηριστικό στην έκδοση Chrome Version 132 και αναμένεται να ενεργοποιηθεί από προεπιλογή στο Chrome 136 (επερχόμενη).
Από το Chrome 132 έως το 135 (τελευταίο), οι χρήστες μπορούν να επιτρέψουν τη λειτουργία εισερχόμενοι Chrome: // Flags/#διαμέρισμα-επισκέπτη Στη γραμμή διευθύνσεων και ορίζοντας την επιλογή “Ενεργοποίηση”.
Πηγή: BleepingComputer
Το χαρακτηριστικό δεν είναι ακόμα σταθερό, οπότε μπορεί να μην λειτουργεί όπως αναμένεται σε όλες τις περιπτώσεις.
Σε άλλα μεγάλα προγράμματα περιήγησης, ο κίνδυνος που επισκέπτεται το στυλ παραμένει εν μέρει απροσδιόριστο.
Πυρήνας όρια Ποια στυλ εφαρμόζονται σε: επισκέπτονται και αποκλείουν το JavaScript από την ανάγνωσή τους, αλλά δεν υπάρχει διαχωρισμός για την απομόνωση τους από εξελιγμένους φορείς επίθεσης.
Safari επίσης εφαρμόζει περιορισμούς Και χρησιμοποιεί επιθετικές προστασίες ιδιωτικής ζωής, όπως η έξυπνη πρόληψη της παρακολούθησης, κάπως μετριάζοντας τις διαρροές, αλλά δεν υπάρχει διαχωρισμός για να εμποδίσει όλες τις επιθέσεις.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
