Google ha anunciado las principales mejoras de seguridad para Chrome Versión 136. Esta actualización aborda una vulnerabilidad de 23 años que permite que los sitios web maliciosos olfaten el historial de navegación de usuarios.
Con una modificación llamada “Visite la partición del enlace”, Chrome se convertirá en el primer navegador importante en eliminar por completo este riesgo de privacidad de larga data que ha afectado a los navegadores web desde el comienzo de CSS.
Problema de enlace morado
Desde los primeros días de la web, los navegadores han estado utilizando CSS: Visited Selectors Style Los enlaces en los que los usuarios han hecho clic previamente, generalmente los giran púrpura. Esta característica aparentemente inocente tiene un grave defecto de seguridad que los investigadores de seguridad han advertido durante décadas.
“¿Qué sucede cuando haces clic en el enlace? ¡Se vuelve púrpura!” Google explica en su anuncio. Este cambio de color ocurre porque el navegador usa CSS para aplicar un estilo especial.
Sin embargo, esta implementación tradicional nos permitió detectar si un visitante había visitado previamente una URL particular al verificar si el navegador hizo estos enlaces como “visitas”, filtrando efectivamente el historial de navegación en varios sitios.
El problema central se deriva de cómo el navegador mantiene una lista global de URL sin partición visitada.
La seguridad de la aplicación ya no es un juego defensivo, es tiempo seguro -> Seminario web gratuito
Esto significa que si un usuario accede al sitio B a través de un enlace en el sitio A, otros sitios web pueden determinar que el usuario ha accedido al sitio B, incluso si el usuario no hace clic en el enlace desde ese tercer sitio hasta el sitio B.
Antes de particionar
Los sitios web maliciosos pueden crear enlaces invisibles a miles de sitios web populares y usar una variedad de técnicas para detectar lo que su navegador ha diseñado.
Cómo Split soluciona el problema
La solución de Chrome implementa “partición” en la que el enlace es visitado por el contexto original y el enlace. En lugar de mantener una sola lista de historia global, Chrome Stores visite los enlaces con información sobre dónde hizo clic, incluyendo:
Los sitios de nivel superior de URL de enlace son el origen del marco
“Protegemos su historial de navegación al mostrar solo los enlaces que visitó si hizo clic en ese enlace de este sitio anteriormente”, explica Google.
“Esto evita efectivamente las fugas de historial de sitios cruzados al tiempo que mantiene los beneficios de la experiencia del usuario del estilo de enlace que visita”.
Después de la división
Excepciones de enlaces automáticos
Para mantener la usabilidad, Chrome ha implementado “Talling de reticulación”, lo que permite a los sitios web mostrar sus propias subpagas mientras visitan, incluso si el usuario visita desde otro sitio.
Google justifica esta excepción diciendo: “El sitio tiene otras formas de rastrear si los usuarios han visitado las subpáginas”. Por lo tanto, no se introducirán nuevos riesgos de privacidad.
Este forvout se aplica solo a las propias subpáginas del sitio. Los enlaces a sitios de terceros o iframes de terceros permanecerán estrictamente divididos, aplicando perímetros de seguridad apropiados.
Esta solución se lanza con Chrome versión 136, y el navegador de Google será el primero en resolver por completo las vulnerabilidades de seguridad desde hace décadas. Otros navegadores implementaron anteriormente una mitigación parcial que ralentizaron tales ataques pero no los eliminaron por completo.
Los expertos en seguridad elogiaron este enfoque como un buen equilibrio entre mantener la compatibilidad web y la protección de la privacidad del usuario, abordando una vulnerabilidad que ha persistido desde que la especificación CSS introdujo la función selectora que se visitó por primera vez.
Investigue los enlaces maliciosos del mundo real y los ataques de phishing con búsqueda de inteligencia de amenazas: pruebe 50 solicitudes gratuitas
