Google Chrome recevra bientôt un correctif pour un bogue de confidentialité qui existait pendant plus de deux décennies, permettant à un website Internet malveillant d’identifier des websites qui ont été visités auparavant par un utilisateur. Au fil des ans, certains navigateurs Internet ont précédemment introduit certaines mesures pour résoudre le problème, mais Google dit que le dernier correctif empêche les websites d’utiliser des exploits de sécurité pour déterminer les liens visités par un utilisateur. Le correctif arrivera avec Google Chrome model 136, qui devrait être déployé plus tard ce mois-ci.
Remark: les travaux de partitionnement du lien visité
Dans un poste Sur le weblog Chrome Developer publié plus tôt ce mois-ci, la société a révélé qu’elle avait résolu un problème avec le CSS :visited sélecteur qui pourrait révéler les détails de l’activité de navigation d’un utilisateur à un autre website. Le navigateur affiche généralement un lien visité en violet au lieu du bleu, indiquant le lien – sur ce website – il a été précédemment cliqué par un utilisateur.
:visited {
shade: purple;
background-color: yellow;
}
Cependant, les navigateurs affichent également les liens visités avec la couleur violette sur d’autres websites Internet, s’ils incluaient le même lien. Les websites Internet sans scrupules pourraient ensuite utiliser du code malveillant pour identifier les liens dans le navigateur :visited histoire. Le problème a été identifié pour la première fois en mai 2022, ce qui signifie que le bogue a près de 23 ans.
Les websites malveillants pourraient identifier les liens visités sur leur website Internet
Crédit photograph: Google
Ce bogue de confidentialité a existé pendant plus de 20 ans pour une raison spécifique – le navigateur :visited L’histoire était « non sombre ». En cliquant sur un lien, le marquerait comme visité sur n’importe quel website Internet qui comportait la même URL.
Afin de corriger ce bogue, Google a adopté un système de partitionnement à trois niveaux conçu pour empêcher différentes formes d’attaques utilisées pour découvrir l’historique des liens d’un utilisateur. Pour commencer, Google affichera un lien comme visité si un utilisateur cliquait dessus sur ce website particulier.
Cela signifie que si un utilisateur a cliqué sur un lien vers le website B sur le website A, alors Chrome ne révélera pas le lien vers le website B comme visité sur le website C. En conséquence, le website Internet ne peut plus déterminer si l’utilisateur a visité ce lien.
Bloquer l’histoire visitée sur des websites malveillants en utilisant le partitionnement
Crédit photograph: Google
Google Chrome limitera également la possibilité de vérifier: l’historique des liens visités pour les cadres sur les websites Internet. Cependant, un website Internet pourra afficher ses propres sous-pages :visitedselon Google. En conséquence, les liens vers les propres sous-pages de ce website peuvent apparaître dans Purple, tandis que les liens vers des websites tiers apparaîtront en bleu, protégeant la confidentialité des utilisateurs.
Google dit que le bogue a été corrigé sur la model 136 de Chrome, qui devrait déployer les utilisateurs sur la chaîne steady le 23 avril. Pendant ce temps, les testeurs bêta de Google Chrome et les utilisateurs qui exécutent des variations nocturnes de Chrome devraient déjà être protégées de l’ancien bogue de confidentialité de 23 ans.
