Gandrīz katrai platformai vai pakalpojumam ir savas drošības ievainojamības – un Chrome nav izņēmums. Nesen Google jau novērsa vairākas nopietnas problēmas, kas varēja ļaut ļaundariem piekļūt pārlūka konfidenciālajiem datiem, bet tagad tā labojusi vēl vienu svarīgu kļūdu.
Google novērsa kritisku ievainojamību Chrome – tādu, kas pastāvēja jau no pirmās dienas un ļāva ārējiem zināt, kuras vietnes jūs apmeklējāt.
Problēma slēpās, šķietami, vienkāršā funkcijā: kad jūs nospiežat uz saites, tā maina krāsu no zilas uz violetu (vai citu, atkarībā no vietnes iestatījumiem). Taču tieši šī vizuālā detaļa kļuva par vairāku gadu plaisu privātuma aizsardzībā, kas varēja «klusi» izdot daļu no jūsu pārlūkošanas vēstures.
Google paskaidroja, kā tas darbojās: vietnes varēja stilizēt saites caur :visited selektoru – un mainīt to izskatu, ja jūs jau bijāt tās apmeklējuši, neatkarīgi no tā, kur jūs to darījāt. Tādējādi citas vietnes varēja palaist skriptus, kas pārbaudītu, kuras saites jau bija kļuvušas violetas – un faktiski iekļaut, kur jūs esat bijuši internetā.
Runa ir ne tikai par privātumu. Google to nosauca par «dziļas līmeņa arhitektūras trūkumu», kas radīja nopietnus riskus – no izsekošanas un profilēšanas līdz pikšķerēšanai. Labojums aizkavējās, bet beidzot sagaidījām.
Kā darbojās ievainojamība
Jūs pārlūkojat vietni A un nospiežat saiti uz vietni B. Šādā gadījumā vietne B tiek saglabāta :visited vēsturē. Vēlāk jūs apmeklējat vietni Ļauns, kas arī satur saiti uz vietni B. Bez ierobežojumiem, pārlūks parādīs šo saiti kā jau apmeklētu (:visited) – pat ja jūs to īpaši nenospiedāt vietnē Ļauns. Tad vietne Ļauns var izmanto šo īpatnību, lai uzzinātu, vai saite izskatās kā :visited, tātad, ka jūs iepriekš esat bijuši vietnē B. Tā informācija izplūda no pārlūkošanas vēstures.
Google pēdējā Chrome atjauninājumā ieviesīs trīskāršas atslēgas konteksta nodalīšanas mehānismu. Tas nozīmē, ka pārlūks vairs neizsekos apmeklētās saites globāli. Tagad Chrome ņems vērā trīs faktorus, lai noteiktu, vai saite ir apmeklēta:
- pašu saites URL adresi;
- augšējā līmeņa vietni (to, kas no adreses joslā);
- rāmja izcelsmi, kurā parādās saite.
Citiem vārdiem sakot, tagad saite tiks uzskatīta par apmeklētu tikai tad, ja jūs to esat iepriekš nospieduši tajā pašā vietnē un tajā pašā rāmī. Vairs nekādas sarežģītas sekošanas caur citām vietnēm.
Tātad ar Chrome 136 izdošanu, kas plānota aprīļa beigās, Google beidzot likvidēs 20 gadu problēmu ar privātumu, pilnībā mainot pieeju apmeklēto saišu attēlošanai.
Nesen Chrome pievienoja rīkus «lapu rīmu» kontrolei un pārlūka veiktspējas uzlabošanai.
Avots: phonearena
Komentāri (0)
Šobrīd nav neviena komentāra