Google отстрани 23-годишна уязвимост в Chrome, която може да доведе до изтичане на историята на браузъра ви
Гугъл в профил накърнимост в уеб браузъра Chrome, която може да разкрие историята на посетените от потребителя уеб страници. Проблемът съществуваше от над 20 години и беше обвързван с метода, по който браузърите демонстрират посетените връзки.
За да се покажат връзките, които потребителят е посетил преди този момент (те са маркирани в лилаво), браузърът би трябвало да наблюдава тези страници благодарение на каскадни таблици със стилове посредством селектора:visited. Както изясни Гугъл, същността на грешката се състои в това, че информацията за това кои връзки потребителят към този момент е посетил се съхранява, без да се споделят персоналните данни сред посетените уеб сайтове. Това значи, че всеки уебсайт е можел да дефинира дали избрана връзка е била отворена преди този момент, даже в случай че тя е била показана на изцяло друг запас.
„ Преглеждате уебсайт А и щраквате върху връзка към уебсайт Б. По-късно посещавате условно злотворен уебсайт C, който също съдържа връзка към уебсайт B. Той може да разбере, че към този момент сте били на уебсайт В, просто като разпознава връзката по нейния цвят. “
обяснява Гугъл
Компанията назова това фундаментална неточност в дизайна на браузъра и акцентира, че тя би могла да бъде приложена за следене на онлайн интензивността на потребителите. Уязвимостта визира освен Chrome, само че и други браузъри – по-специално Safari, Opera, Internet Explorer и Firefox, заяви PCMag.
За първи път казусът е подложен на вниманието на откривателя по сигурността Андрю Клоувър още през 2002 година. Той показва образно всички стадии на допустима офанзива въз основа на изследователския документ на Принстънския университет „ Timing Attacks on Web Privacy “.
Поправката към този момент е включена в бета версията на актуализацията Chrome 136. Сега информацията за посетените връзки ще се съхранява настрана за всеки уебсайт и няма да се трансферира сред ресурсите.
