Après deux décennies d’inquiétude persistante parmi les défenseurs de la vie privée et les chercheurs en sécurité Web, Google déploie enfin un correctif pour une vulnérabilité de longue date dans Chrome qui a silencieusement exposé l'historique de navigation des utilisateurs.
Le problème vient de la façon dont les navigateurs ont traditionnellement géré les :visited Sélecteur CSS, permettre aux sites Web de distinguer visuellement les liens sur lesquels un utilisateur a déjà cliqué et ceux sur lesquels il n'a pas cliqué. Bien que conçu comme un amélioration de l'expérience utilisateur, cette fonctionnalité a été exploitée à plusieurs reprises pour effectuer des attaques furtives de reniflage d'historique.
La fuite de confidentialité expliquée
Au cœur du problème réside la capacité du navigateur à styliser les liens comme :visited, changeant généralement leur couleur du bleu au violet, basé uniquement sur le fait qu'un utilisateur a déjà cliqué sur le lien. Ce style s'est produit quel que soit le site Web d'origine sur lequel l'interaction a eu lieu, sens n'importe quel site Web pourrait potentiellement déduire l'historique de navigation de l'utilisateur grâce à des scripts intelligents.
Au cours des années, les chercheurs ont démontré une gamme d'attaques exploitant cette vulnérabilité, y compris les techniques basées sur le timing, analyses au niveau des pixels, suivi basé sur l'interaction, et même en exploitant les processus sous-jacents du navigateur. Ces attaques ont permis à des sites Web malveillants de détecter les URL qu’un utilisateur avait précédemment visitées., conduisant à un profilage potentiel, hameçonnage ciblé, et le suivi invasif.
Chrome 136 Introduit le partitionnement à trois clés
Avec la sortie de la version Chrome 136, Google introduit un changement architectural majeur pour résoudre le problème une fois pour toutes. Le navigateur utilisera désormais un système de partitionnement à trois clés pour isoler les données des liens visités. Ce système considère:
- L'URL du lien cible
- Le site de niveau supérieur (c'est à dire., domaine dans la barre d'adresse)
- L'origine du cadre où le lien est rendu
Cette mise à jour signifie qu'un lien n'apparaîtra comme visité que s'il a été cliqué sur le même site et la même origine du cadre. éliminant le suivi intersite grâce à :styles visités.
Pour maintenir la convivialité, Google a inclus un “auto-liens” exception. Cela garantit que les liens sur lesquels un utilisateur a cliqué sur un site apparaîtront toujours comme visités lors de son retour sur ce même site., même si le lien a été initialement cliqué ailleurs. Étant donné que le site sait déjà quelles pages ont été visitées, cette exception ne présente pas de risques supplémentaires pour la vie privée.
Google a exclu des approches plus radicales comme la dépréciation :visited entièrement — en raison de la perte d'indicateurs UX utiles — ou de modèles basés sur les autorisations, qui pourrait être abusé ou facilement contourné.
Comment activer la fonctionnalité avant Chrome 136
Bien qu'un déploiement complet soit attendu avec Chrome 136, utilisateurs sur les versions 132 par 135 peut activer manuellement la fonctionnalité en accédant à:
chrome://flags/#partition-visited-link-database-with-self-links
Définissez l'indicateur sur « Activé » pour activer le nouveau système d'isolation. Note, cependant, que la fonctionnalité est encore expérimentale et peut ne pas se comporter de manière cohérente sur tous les sites Web ou cas d'utilisation.
A partir de maintenant, les navigateurs concurrents tels que Firefox et Safari offrent des protections partielles, comme restreindre les changements de style et l'accès aux scripts, mais n'implémentent pas le même type de partitionnement, laissant une certaine place à des attaques sophistiquées. Si largement adopté, La nouvelle approche de Chrome pourrait établir une nouvelle référence en matière de confidentialité des navigateurs.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: