雖然 Chrome 還沒有 23 年歷史但瀏覽器軟件的歷史更長，谷歌日前修復的漏洞理論上說涵蓋所有瀏覽器，網(wǎng)絡廣告可以借助這個漏洞窺探用戶的瀏覽記錄，從而追蹤并向用戶推送定向廣告。

這個漏洞說起來也比較讓人難崩，通常情況下網(wǎng)頁上的超鏈接使用藍色標記標記，用戶看到藍色標記的文字或鏈接時就可以知道這部分是可以點擊。如果用戶點擊該鏈接則通常情況下鏈接顏色會變成紫紅色 (并非所有網(wǎng)站都會如此)，用戶回到當前頁面并看到鏈接變成紫紅色時就可以知道這個鏈接已經(jīng)點擊過。

這種設計可以通過 CSS 樣式表進行控制，使用 CSS 定義:visited 值就可以實現(xiàn)顏色轉變，此時瀏覽器如果檢查到對應鏈接已經(jīng)在歷史記錄里存在那就換成:visited 定義的新顏色例如紫色。

網(wǎng)絡廣告和能夠運行腳本的第三方可以使用該技術在網(wǎng)頁上插入特定鏈接，然后再檢查用戶瀏覽時該鏈接的顏色是否變成定義的紫色，如果顏色確實變成紫色則代表這個鏈接用戶訪問過，這意味著用戶可能對這個鏈接呈現(xiàn)的內容有興趣，可以將興趣偏好納入到參數(shù)里向用戶提供個性化廣告。

谷歌軟件工程師在博客中表示：

這種攻擊可以揭露用戶訪問過哪些鏈接并泄露有關其網(wǎng)頁瀏覽活動的詳細信息，這個安全問題已經(jīng)困擾整個網(wǎng)絡 20 多年，瀏覽器部署了各種權宜之計來緩解這些歷史監(jiān)測攻擊，雖然這些措施能夠緩解攻擊但并沒有徹底消除。

比較有趣的是針對該問題其實早就有面向 Chromium 瀏覽器引擎的反饋，但谷歌也兩次將該問題標記為無法修復因此在過去幾年并未解決問題，直到現(xiàn)在谷歌決定徹底解決這個問題而不是當鴕鳥。

修復該更新的補丁已經(jīng)在 Chrome Beta v136 版中，Chrome 136 正式版預計會在 4 月 23 日發(fā)布，到時候 Chrome 也會稱為首個徹底解決該安全漏洞的瀏覽器。

至于修復方案：

以前沒法修復是因為瀏覽器確實需要超鏈接變色這個功能，而該功能的運行機制也確實是瀏覽器需要讀取歷史記錄進行對比。為了解決這個問題，Chrome 工程師使用分區(qū)機制對訪問過的歷史鏈接進行分區(qū)，而不是維護一個歷史記錄的全局列表。

簡而言之分區(qū)是指將鏈接與點擊位置的其他信息一起存儲，在 Chrome 中這些信息包含鏈接 URL、頂級域名 (即用戶訪問的網(wǎng)站的所屬主域名)、iframe 框架來源，啟用分區(qū)后:visited 歷史記錄不再是允許任何網(wǎng)站都能查詢的歷史記錄全局列表，相反，:visited 能夠讀取的歷史記錄將根據(jù)用戶最初訪問這個鏈接的上下文進行隔離，由于域名不同，跟蹤器無法再通過這個機制讀取非這個域名上呈現(xiàn)的 URL。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/