Google Chrome konečně opravuje přes 20 let starý problém. Neuvěříte, v čem spočíval
- Fialové odkazy na webu umožňovaly špehovat historii navštívených stránek
- Chrome 136 přináší výrazné vylepšení ochrany soukromí díky partition systému
- Problém existoval přes dvě dekády a teprve nyní přichází skutečné řešení
2 komentáře
Google Chrome konečně řeší bezpečnostní problém, který existoval prakticky od prvopočátku webových prohlížečů. Chyba, jež umožňovala webovým stránkám zjistit, jaké další servery jste v minulosti navštívili, bude definitivně opravena v nadcházející verzi.
Fialové odkazy jako zdroj úniku dat
Určitě to znáte: Když kliknete na odkaz na webové stránce, změní se jeho barva z modré na fialovou. Tato vizuální pomůcka, která má uživatelům usnadnit orientaci na internetu, se ale v rukách útočníků může stát silným nástrojem pro narušení soukromí. Škodlivé weby mohly pomocí různých technik zjistit, které odkazy se na stránce zobrazují jako navštívené (fialové), a získat tak přehled o vaší historii prohlížení.
„Tyto útoky mohou odhalit, které odkazy uživatel navštívil, a prozradit detaily o jeho aktivitách na webu,“ vysvětlila v oficiálním blogovém příspěvku Kyra Seevers, softwarová inženýrka Googlu. „Tento bezpečnostní problém trápí web již více než 20 let a prohlížeče nasadily různá prozatímní řešení k omezení těchto útoků na detekci historie. Zatímco tyto útoky jsou těmito opatřeními zpomaleny, nejsou eliminovány,“ dodala.
Jak funguje útok na historii prohlížení?
Celý trik byl poměrně jednoduchý, ale velmi efektivní. Škodlivá webová stránka mohla zahrnout tisíce neviditelných odkazů na populární webové stránky a následně pomocí JavaScriptu nebo CSS zjistit, které z těchto odkazů by se měly zobrazit jako fialové (navštívené). Tím se v podstatě dozvěděla, které stránky jste v minulosti navštívili.
Tento problém není jen záležitostí Chromu, ale téměř všech moderních prohlížečů. Ve skutečnosti je dokonce starší než samotný Chrome, který byl poprvé představen v roce 2008. Jak poznamenává list The Register, poprvé byl tento bezpečnostní problém zdokumentován již v roce 2000 v článku „Timing Attacks on Web Privacy“ od výzkumníků z Princetonu.
Zachráncem bude Chrome 136
Revoluční řešení v podobě tzv. „partitioningu“ historie navštívených odkazů přinese nadcházející Chrome 136, která dorazí 23. dubna. Namísto uchovávání globálního seznamu navštívených odkazů bude prohlížeč ukládat informace o tom, kde přesně jste na odkaz klikli.
Nový systém funguje tak, že když navštívíte stránku A a kliknete na odkaz vedoucí na stránku B, do historie se propíše kombinace „stránka A + stránka B“. Když později navštívíte nějakou škodlivou stránku, která obsahuje odkaz na stránku B, nebude tento odkaz zobrazen jako navštívený, protože neodpovídá uloženému záznamu „stránka A + stránka B“. Více podrobností Google sdílel přímo v blogovém příspěvku.
Myslíte si, že by prohlížeče měly více dbát na soukromí uživatelů?
Zdroje: Google, TechRadar, How-To Geek, The Register
O autorovi
Adam Kurfürst
Adam studuje na gymnáziu a technologické žurnalistice se věnuje od svých 14 let. Pakliže pomineme jeho vášeň pro chytré telefony, tablety a příslušenství, rád se… Více o autorovi
