關(guān)鍵詞

安全漏洞

谷歌瀏覽器 136 版于 2025 年 4 月發(fā)布，引入了“訪問鏈接分區(qū)”這一革命性功能，修復(fù)了困擾網(wǎng)絡(luò)二十多年的隱私漏洞。

作為第一個實施這一強大防御措施的主流瀏覽器，Chrome 可確保用戶的瀏覽歷史記錄不被窺探，標(biāo)志著網(wǎng)絡(luò)安全的重大飛躍。

消除歷史檢測漏洞

自互聯(lián)網(wǎng)早期以來，CSS :visited 選擇器就使網(wǎng)站能夠?qū)c擊的鏈接進行樣式設(shè)置，通常將其變?yōu)樽仙栽鰪妼?dǎo)航。

此功能雖然用戶友好，但卻存在漏洞，惡意網(wǎng)站可以檢測：visited 樣式來推斷用戶訪問過哪些網(wǎng)站。

例如，如果用戶從站點 A 點擊了站點 B 的鏈接，惡意 Site Evil 稍后可能會顯示同一鏈接并利用其 :visited 狀態(tài)來確認(rèn)用戶訪問了站點 B。

以前的瀏覽器緩解措施（例如限制樣式選項）減緩了這些歷史檢測攻擊，但未能根除它們。

Chrome 的 :visited 鏈接分區(qū)通過存儲帶有上下文詳細(xì)信息（具體來說，鏈接 URL、頂級站點和框架來源）的鏈接歷史記錄正面解決了這一缺陷。

現(xiàn)在，鏈接只會在被點擊的網(wǎng)站上顯示為 :visited，從而防止跨站泄漏。在同樣的情況下，除非用戶點擊了 Site Evil 指向 Site B 的鏈接，否則該鏈接將保持無樣式狀態(tài)，從而使漏洞利用失效。

這種分區(qū)將訪問歷史記錄從全局的、易受攻擊的列表轉(zhuǎn)換為安全的、特定于上下文的記錄，以前所未有的精度保護用戶的隱私。

谷歌表示： “這是瀏覽器安全的決定性時刻。通過 :visited 鏈接分區(qū)，Chrome 消除了長期存在的隱私風(fēng)險，同時保留了用戶期望的無縫體驗。我們致力于為每個人構(gòu)建更安全的網(wǎng)絡(luò)。”

在不損害安全性的情況下增強可用性

認(rèn)識到直觀導(dǎo)航的重要性，Chrome 引入了“自鏈接”功能，以平衡隱私和可用性。

此功能允許網(wǎng)站將指向其子頁面的鏈接樣式設(shè)置為 :visited，即使這些鏈接是從其他上下文點擊的。例如，在瀏覽 Site.Wiki 的黃金頁面時，如果用戶之前訪問過其鉻和黃銅頁面，則指向這些頁面的鏈接將顯示為已訪問，無論其來源網(wǎng)站是什么。

由于網(wǎng)站已經(jīng)可以跟蹤自己的子頁面，因此此例外不會泄露任何新信息，從而保留了分區(qū)的隱私保護。

至關(guān)重要的是，這項豁免排除了第三方鏈接和iframe，確保不存在跨站追蹤漏洞。這項周到的設(shè)計在維護嚴(yán)格的安全標(biāo)準(zhǔn)的同時，保留了網(wǎng)站內(nèi)導(dǎo)航的便捷性。

該修復(fù)程序現(xiàn)已在 Chrome Beta 頻道中提供，并將于 2025 年 4 月 23 日在 Chrome 136 穩(wěn)定版本中推出。鼓勵用戶通過 Chromium 錯誤跟蹤器提供反饋或報告任何問題。

通過重新定義瀏覽歷史記錄的處理方式，Chrome 不僅保留了訪問過鏈接樣式的實用性，還為所有人提供了更安全、更私密的網(wǎng)絡(luò)體驗。

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！