Trong suốt gần 20 năm qua, tất cả các trình duyệt web đều gặp phải một vấn đề về quyền riêng tư có thể tiết lộ lịch sử duyệt web của bạn. Rất may, Google đang dẫn đầu cuộc chiến để giải quyết vấn đề này một cách triệt để.
Chrome Khắc Phục Lỗ Hổng Lộ Lịch Sử Duyệt Web
Mỗi khi bạn truy cập một trang web trên Chrome (hoặc trình duyệt dựa trên Chromium), trình duyệt sẽ đánh dấu các liên kết với cờ “:visited” để chúng hiển thị màu tím trong kết quả tìm kiếm. Đây là một dấu hiệu trực quan giúp bạn nhớ rằng bạn đã từng truy cập trang web đó trước đây.
Tuy nhiên, trình duyệt thay đổi màu sắc này bất kể bạn đang ở trang web nào khi nhấp vào liên kết. Điều này cho phép các trang web khác viết JavaScript sáng tạo và đánh cắp lịch sử duyệt web của bạn, ngay cả khi bạn đã tăng cường quyền riêng tư cho trình duyệt.
Google phân chia liên kết
Vấn đề này đã tồn tại trước cả Chrome và đã gây ra rò rỉ trong hơn 20 năm, với các trình duyệt liên tục đưa ra các giải pháp để giảm thiểu rủi ro.
Kyra Seevers của Google đã giải thích thêm trong một bài đăng trên blog thông báo về bản cập nhật mới. Ví dụ, Firefox hạn chế các phong cách CSS có thể áp dụng cho các trang web được đánh dấu “:visited” và ngăn chặn JavaScript đọc chúng. Safari sử dụng các tính năng như Intelligent Tracking Prevention để giảm thiểu rủi ro, nhưng không một giải pháp nào trong số này có thể chặn tất cả các cuộc tấn công.
Người đàn ông xuất hiện trên màn hình laptop với logo Chrome
Bắt đầu từ phiên bản 136 sắp tới, Chrome là “trình duyệt lớn đầu tiên làm cho các cuộc tấn công này trở nên lỗi thời.” Điều này được thực hiện bằng cách chia lịch sử liên kết “:visited” thành ba phần. Từ nay, thay vì lưu trữ lịch sử truy cập liên kết toàn cầu, Chrome sẽ chia nhỏ mỗi liên kết đã truy cập bằng cách sử dụng ba khóa sau:
- URL của liên kết
- Trang web cấp cao nhất
- Nguồn gốc khung
Việc phân chia này đảm bảo rằng một liên kết chỉ xuất hiện như đã truy cập trên cùng một trang web và trong cùng một nguồn gốc khung (tức là trang nơi bạn đã nhấp vào liên kết) mà bạn đã truy cập trước đó. Có một ngoại lệ “self-links”, nghĩa là các liên kết đã truy cập của một trang web sẽ được đánh dấu tương ứng, ngay cả khi bạn nhấp vào chúng từ một trang web khác.
Nói cách khác, một liên kết chỉ được hiển thị là “:visited” nếu bạn đang ở trên một trang web mà bạn đã từng nhấp vào liên kết đó trước đây. Điều này ngăn chặn các trang web độc hại theo dõi lịch sử trình duyệt của bạn bằng cách lập bản đồ tất cả các trang web được đánh dấu là đã truy cập bởi trình duyệt.
-
Lỗ hổng lộ lịch sử duyệt web là gì?
Lỗ hổng này cho phép các trang web khác sử dụng JavaScript để xác định và đánh cắp lịch sử duyệt web của bạn thông qua việc theo dõi các liên kết đã truy cập. -
Chrome đã khắc phục lỗ hổng này như thế nào?
Chrome phân chia lịch sử liên kết “:visited” thành ba phần, đảm bảo rằng các liên kết chỉ xuất hiện như đã truy cập trên cùng một trang web và trong cùng một nguồn gốc khung. -
Tính năng này có sẵn trong phiên bản Chrome nào?
Tính năng này sẽ được kích hoạt mặc định bắt đầu từ phiên bản Chrome 136. -
Làm cách nào để kích hoạt tính năng này trong Chrome?
Bạn có thể kích hoạt tính năng này bằng cách truy cập vào chrome://flags/#partition-visited-link-database-with-self-links và đặt cờ thành Enabled. -
Các trình duyệt khác đã làm gì để giải quyết vấn đề này?
Firefox hạn chế các phong cách CSS có thể áp dụng cho các trang web được đánh dấu “:visited” và ngăn chặn JavaScript đọc chúng, trong khi Safari sử dụng Intelligent Tracking Prevention. -
Tính năng này có thể làm hỏng một số trang web không?
Có, tính năng này chưa ổn định và có thể làm hỏng một số trang web cố gắng truy cập lịch sử duyệt web của bạn. -
Tại sao Google không loại bỏ hoàn toàn chức năng cũ?
Google cho rằng việc loại bỏ chức năng cũ sẽ xóa bỏ các manh mối giao diện người dùng có giá trị.
Bắt Đầu Bảo Vệ Bản Thân Ngay Bây Giờ
Phiên bản Chrome 136 vẫn chưa được phát hành công khai vào thời điểm viết bài, nhưng tính năng này đã có mặt trong Chrome dưới dạng cờ thử nghiệm kể từ phiên bản 132. Để kích hoạt nó, hãy làm theo các bước sau:
- Sao chép và dán địa chỉ sau vào thanh URL của Chrome: chrome://flags/#partition-visited-link-database-with-self-links
- Đặt cờ thành Enabled.
Tính năng này chưa ổn định, vì vậy nó có thể không hoạt động như mong đợi trên tất cả các trang web và thậm chí có thể làm hỏng một số trang cố gắng truy cập lịch sử duyệt web của bạn. Bắt đầu từ phiên bản 136, nó sẽ được kích hoạt mặc định. Tuy nhiên, chức năng cũ sẽ không hoàn toàn bị loại bỏ—Google tuyên bố rằng việc loại bỏ nó sẽ xóa bỏ các manh mối giao diện người dùng có giá trị.
Nếu bạn đang sử dụng trình duyệt có khả năng Chromium, bạn có thể sẽ phải đợi tính năng này đến. Trong thời gian chờ đợi, bạn có thể sao chép và dán URL trên để kiểm tra xem trình duyệt của bạn có hỗ trợ tính năng này hay không.
