7月安卓手機性能榜:紅魔8S Pro再奪榜首
7月份的手機市場風平浪靜,除了紅魔和努比亞帶來了兩款搭載驍龍8Gen2領先版處理器的新機之外,別的也想不到有什么新品了,這也正常,通常6月7月都是手機廠商修整的時間,進入8月份之
4 月 8 日消息,根據谷歌軟件工程師 Kyra Seevers 在博客中的消息,Chrome 136 將徹底解決一個存在了 23 年之久的瀏覽器歷史嗅探漏洞,該版本已于上周四推送至 Chrome Beta 通道,預計將于 4 月 23 日正式發布。Seevers 表示:“這是首個使這些攻擊失效的主流瀏覽器。”
瀏覽器歷史嗅探(Browser History Sniffing)是一種通過檢測網頁鏈接顏色來判斷用戶是否訪問過特定頁面的隱私攻擊方式。攻擊者通過在網頁上放置大量鏈接,并檢查用戶瀏覽器渲染這些鏈接的顏色,從而判斷用戶是否訪問過某些特定網站。例如,如果用戶訪問過的鏈接被渲染為紫色,攻擊者就能獲取到這一信息,進而推斷出用戶的瀏覽歷史。
據了解,這種攻擊方式早在 2000 年就被普林斯頓大學的研究人員 Edward Felten 和 Michael Schneider 在論文《Timing Attacks on Web Privacy》中提及。2002 年 5 月 28 日,當時在 Mozilla 工作的 David Baron 提交了一份關于該問題的 Firefox 錯誤報告。然而,直到 2009 年 4 月,一個名為 StartPanic 的網站才真正引起公眾關注,該網站展示了如何通過鏈接顏色推斷用戶的瀏覽歷史,并呼吁瀏覽器廠商修復這一隱私漏洞。
此后,盡管瀏覽器廠商采取了一些緩解措施,但這些措施并未能徹底解決問題。2010 年,Mozilla 發布了一篇博客文章,指出默認情況下已訪問鏈接和未訪問鏈接的顏色差異可以被網站讀取。同年,研究人員 Artur Janc 和 Lukasz Olejnik 在 Web 2.0 安全與隱私研討會上發表了一篇關于如何利用 CSS 濫用進行瀏覽器歷史檢測的論文。2011 年,卡內基梅隆大學的研究人員在論文《I Still Know What You Visited Last Summer》中展示了六種繞過緩解措施的歷史嗅探漏洞。
Chrome 136 的發布將標志著這一長期隱私漏洞的終結。谷歌采用了一種名為“分區訪問鏈接歷史”的新解決方案。該方案徹底改變了瀏覽器存儲和暴露已訪問鏈接數據的方式。具體而言,瀏覽器不再維護一個全局列表,而是將已訪問鏈接存儲為一個三元組分區,包括鏈接 URL、頂級網站域和渲染鏈接的框架來源。只有這三個鍵完全匹配時,鏈接才會被 `:visited` CSS 選擇器樣式化。
這種分區機制阻止了網站評估其他網站的訪問狀態,因為它們的域名不匹配。正如 Seevers 所解釋的那樣:“分區是指存儲鏈接時附加關于點擊鏈接位置的額外信息。在 Chrome 中,這包括鏈接 URL、頂級網站和框架來源。啟用分區后,您的 `:visited` 歷史記錄不再是可以被任何網站查詢的全局列表,而是根據您最初訪問該鏈接的上下文進行‘分區’或分離。”
Olejnik 表示,這一解決方案標志著瀏覽器架構的演變,結束了隱私工程師與攻擊者之間長達數十年的“軍備競賽”。他說:“這標志著在為所有用戶構建一個更私密、更尊重隱私的網絡方面邁出了重要一步。”
本文鏈接:http://www.tebozhan.com/showinfo-119-142260-0.html已存在 23 年,谷歌 Chrome 瀏覽器 136 將修復可使網站窺探用戶瀏覽歷史的漏洞
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
Copyright ? 2016-2023 天津谷騏科技有限公司 版權所有 sitemap.xml
違法及侵權請聯系:2376512515@qq.com 津ICP備18001702號
津公網安備 12010102000574號