Trong gần hai thập kỷ qua, các trình duyệt web đã phải đối mặt với một lỗ hổng quyền riêng tư nghiêm trọng, cho phép rò rỉ lịch sử duyệt web của người dùng. Tin vui là Google đang dẫn đầu nỗ lực nhằm chấm dứt hoàn toàn vấn đề này, mang lại sự bảo mật Chrome tốt hơn cho người dùng.
Vấn đề rò rỉ lịch sử duyệt web qua liên kết đã truy cập: Lỗ hổng tồn tại 2 thập kỷ
Mỗi khi bạn truy cập một trang web trong Chrome (hoặc bất kỳ trình duyệt dựa trên Chromium nào), trình duyệt sẽ đánh dấu các liên kết mà bạn đã click với một cờ “:visited”, khiến chúng xuất hiện màu tím trong kết quả tìm kiếm. Đây là một chỉ báo trực quan hữu ích giúp bạn nhận biết mình đã từng ghé thăm trang đó trước đây.
Tuy nhiên, trình duyệt thực hiện thay đổi màu sắc này bất kể bạn đang ở trang web nào khi nhấp vào liên kết. Điều này cho phép các trang web độc hại sử dụng JavaScript phức tạp để đánh cắp lịch sử duyệt web của bạn, ngay cả khi bạn đã cố gắng tăng cường quyền riêng tư cho trình duyệt của mình.
Sơ đồ minh họa cách Chrome phân vùng dữ liệu liên kết đã truy cập, giúp bảo vệ quyền riêng tư người dùng.
Vấn đề này đã tồn tại trước cả Chrome và gây ra các nguy cơ rò rỉ dữ liệu trong hơn 20 năm. Các trình duyệt đã triển khai nhiều bản sửa lỗi khác nhau để giảm thiểu rủi ro. Kyra Seevers từ Google đã giải thích chi tiết hơn trong một bài đăng blog thông báo về bản cập nhật mới. Ví dụ, Firefox hạn chế các kiểu CSS có thể áp dụng cho các trang được đánh dấu “:visited” và chặn JavaScript đọc chúng. Safari sử dụng các tính năng như Intelligent Tracking Prevention để giảm thiểu rủi ro. Tuy nhiên, không giải pháp nào trong số này có thể chặn tất cả các cuộc tấn công.
Giải pháp đột phá của Chrome: Phân vùng dữ liệu liên kết “:visited”
Bắt đầu từ bản phát hành tiếp theo, phiên bản 136, Chrome sẽ trở thành “trình duyệt lớn đầu tiên vô hiệu hóa hoàn toàn các cuộc tấn công này”. Điều này đạt được bằng cách phân chia lịch sử liên kết “:visited” thành ba phần. Thay vì lưu trữ lượt truy cập liên kết một cách toàn cầu, Chrome sẽ chia mỗi liên kết đã truy cập bằng ba khóa sau:
- URL của liên kết
- Trang web cấp cao nhất (Top-Level Site)
- Nguồn khung (Frame Origin)
Cách thức hoạt động của tính năng mới
Sự phân chia này đảm bảo rằng một liên kết sẽ chỉ xuất hiện là đã truy cập trên cùng một trang web và trong cùng một nguồn khung (tức là trang mà bạn đã nhấp vào liên kết đó) nơi bạn đã nhấp vào nó trước đây. Có một ngoại lệ “self-links”, nghĩa là các liên kết đã truy cập của một trang web sẽ được đánh dấu tương ứng, ngay cả khi bạn nhấp vào chúng từ một trang web khác.
Nói cách khác, một liên kết sẽ chỉ hiển thị là “:visited” nếu bạn đang ở trên một trang web mà bạn đã nhấp vào liên kết đó trước đây. Điều này ngăn chặn các trang web độc hại theo dõi lịch sử duyệt web của bạn bằng cách lập bản đồ tất cả các trang được trình duyệt đánh dấu là đã truy cập, từ đó tăng cường quyền riêng tư cho người dùng.
Cách bật tính năng bảo mật này ngay hôm nay
Hiện tại, Chrome phiên bản 136 chưa được phát hành rộng rãi, nhưng tính năng này đã có mặt trong Chrome dưới dạng cờ thử nghiệm (experimental flag) kể từ phiên bản 132. Để bật tính năng này, bạn có thể thực hiện theo các bước sau:
- Sao chép và dán địa chỉ sau vào thanh URL của Chrome: chrome://flags/#partition-visited-link-database-with-self-links
- Đặt cờ thành Enabled.
Tính năng này chưa ổn định, vì vậy nó có thể không hoạt động như mong đợi trên tất cả các trang web và thậm chí có thể làm hỏng một vài trang cố gắng truy cập lịch sử duyệt web của bạn. Bắt đầu từ phiên bản 136, nó sẽ được bật theo mặc định. Tuy nhiên, chức năng cũ sẽ không bị loại bỏ hoàn toàn, vì Google tuyên bố việc xóa nó sẽ loại bỏ các gợi ý giao diện người dùng có giá trị.
Nếu bạn đang sử dụng một trình duyệt dựa trên Chromium khác, bạn có thể sẽ phải chờ tính năng này được triển khai. Trong thời gian chờ đợi, bạn có thể sao chép-dán URL trên để kiểm tra xem trình duyệt của bạn có hỗ trợ tính năng này hay không.
Kết luận
Việc Chrome tiên phong khắc phục lỗ hổng rò rỉ lịch sử duyệt web tồn tại lâu năm là một bước tiến quan trọng trong nỗ lực bảo vệ quyền riêng tư người dùng. Giải pháp phân vùng dữ liệu liên kết “:visited” giúp ngăn chặn hiệu quả các trang web độc hại theo dõi hành vi trực tuyến của bạn. Hãy trải nghiệm tính năng này ngay hôm nay để duyệt web an toàn hơn và theo dõi các bản cập nhật mới nhất từ thuthuathot.com để không bỏ lỡ những thông tin công nghệ hữu ích khác!
