Tento nenápadný detail v Chrome ťa mohol stáť súkromie. Google opravil 20 rokov starú chybu
Google opravuje chybu, ktorá sa týka navštívených odkazov a ich zafarbenia na fialovú farbu.
Určite už vieš, že internetové prehliadače majú pomerne intuitívny spôsob, ako ti ukázať, ktoré odkazy si už navštívil a ktoré nie. Spoločnosť Google tento systém vo svojom prehliadači Chrome prekopáva a adresuje pritom chybu, ktorá existovala už roky, no pravdepodobne ti nenapadlo, že vôbec existuje.
Hypertextový odkaz v článku vyzerá nejak takto. Kým naň neklikneme, je označený modrou farbou, keď naň klikneme, farba sa zmení na fialovú. Táto drobná zmena farieb ti pomáha prirodzene sledovať a udržiavať prehľad o tom, ktorú stránku si navštívil a ktorú nie. Zároveň však tento prehľad poskytovala aj zvedavým očiam.
Zmena v zaznamenávaní navštívených stránok
Samozrejme že ktokoľvek, kto mohol používať tvoj počítač videl, aké stránky si v minulosti navštívil. Google ale vysvetľuje, že ide o oveľa závažnejší problém, ktorý už prakticky od začiatku internetu nahrával do karát aj kyberzločincom. Keď sa ti označí link fialovou farbou, zmenu farby sprostredkúva CSS selektor “:visited”. Ak ti webdizajn nič nehovorí, jednoducho povedané, ide o časť kódu, ktorá stránke oznámi, že si odkaz navštívil a mal by sa zobraziť fialovou.
Ak sa hacker dostane do legitímnej stránky, alebo navštíviš podvodný webový portál, prakticky by ťa tak mohol sledovať a zistiť, aké stránky si v minulosti navštívil.
“Tieto útoky odhaľujú aké stránky užívateľ v minulosti navštívil a zároveň odhaľujú aj detaily ohľadom jeho aktivity na internete. Ide o bezpečnostný problém, ktorý trápil web viac ako 20 rokov. Prehliadač sa pokúšali implementovať rôzne funkcie, aby zabránili tomuto zneužívaniu. Dokázali hackerov spomaliť, no tieto útoky nikdy nevymizli,” hovorí spoločnosť Google.
Spoločnosť zároveň hrdo oznámila, že od najnovšej verzie Chrome 136 sa stal Chrome prvým prehliadačom, ktorý urobil tento typ útoku zastaraný. Dokázali to particiovaním “:visited” histórie. Ako to funguje?
Neprehliadni
Ak má webový portál ukázať, aké stránky si navštívil v minulosti, musí uchovávať ich zoznam. To sa označuje ako :visited história. Od začiatku internetu nebola táto história rozdelená. Znamená to, že neexistovali obmedzenia, kde sa mohla táto história zobraziť. V praxi to znamená, že ak si raz klikol na nejaký odkaz, na každej jednej stránke sa tento odkaz zobrazil ako navštívený, čo umožňovalo kyberzločincom sledovať tvoju históriu prehliadania.
V prípade, že si navštívil nejakú stránku a tá sa zobrazuje fialovo na legitímnych stránkach, nič sa nedeje. Ak si ale navštívil stránku a je v tvojej :visited histórií, ak by si raz skončil na podvodnej stránke, ktorá obsahuje rovnaký odkaz, hacker by jasne videl, že si danú stránku navštívil v minulosti a mohol by túto informáciu zneužiť na útok.
Chrome je prvý, ktorý túto chybu opravil
Rozdelenie :visited histórie na partície je jednoduché, no mimoriadne efektívne riešenie. V podstate sa ti fialový navštívený odkaz zobrazí len na konkrétnej stránke. Povedzme, že si na stránke A a klikneš na odkaz na stránku B. Vo :visited histórii sa ti uloží “Stránka A + Stránka B” a link sa ti zafarbí na fialovo. Následne sa dostaneš na stránku hackera, ktorý má taktieť na svojej stránke odkaz na Stránku B. Ten sa ale nezobrazí na fialovo, pretože tam chýba práve ten vzťah “Stránka A + Stránka B”.
V praxi ide o vítané bezpečnostné vylepšenie, ktoré opravuje medzeru existujúcu už od začiatku internetu. Na druhej strane má aj nedostatky, ktoré si Google všimol a už pracuje na ich oprave. Kvôli partíciám pre :visited históriu sa môže stať komplikovanou napríklad orientácia na stránkach, ako Wikipedia. Spoločnosť Google ale tento problém optimalizuje. Celkovo však pozitíva v tomto prípade prevyšujú negatívne aspekty tejto funkcie a prehliadanie sa opäť stáva o čosi súkromnejším.
Komentáre