899
У Google Chrome закрито 20-річну критичну вразливість
— Фондовий ринок
Вразливість, яка, як виявилося, існувала в Chrome з першого релізу, дозволяла стороннім сайтам отримувати інформацію про те, які веб-сторінки ви раніше відвідували.
Суть проблеми полягала в на перший погляд невинної особливості: при переході за посиланням вона змінює свій колір — наприклад, із синього на фіолетовий. Ця проста функція відкрила лазівку для відстеження дій користувачів, непомітно порушуючи їхню конфіденційність.
Сайти могли застосовувати CSS-селектор: visited для визначення, чи був користувач на тій чи іншій сторінці. Якщо ви колись переходили за певним посиланням, то інший сайт, де таке саме посилання є, міг визначити це — просто перевіряючи, чи змінилася її стилізація. Це дозволяло за допомогою скриптів дізнатися про частину вашої історії переглядів.
Google визнала цей баг серйозною архітектурною вразливістю, яка могла використовуватися для створення профілів, стеження, а також фішингових атак. Виправлення зайняло чимало часу, але зрештою рішення знайдено.
В оновленні Chrome 136, запланованому до релізу наприкінці квітня, з’явиться нова система приватності — triple-key partitioning. Тепер посилання позначатиметься як відвідуване тільки в тому контексті, де воно було відкрите.
За матеріалами: iLenta
Поділитися новиною
Також за темою
Банки декількох країн посилили контроль щодо клієнтів, пов’язаних із росією
Fitch підвищило рейтинг України після реструктуризації боргу
Інвесткомпаніям змінюють правила: що планує регулятор ринку капіталу
Ще 23 АЗС Коломойського переходять під контроль нового власник
НКЦПФР включила до списку сумнівних інвестиційних проєктів ще два кейси
Укрзалізниця повідомила, які потяги затримуються через аварію під Коростенем (список)
