Google корпорацияси Chrome браузерида сўнгги 23 йил давомида чиқарилган барча мавжуд веб-браузерлар учун у ёки бу даражада долзарб бўлган потенциал заифликни йўқ қилади. Бу ҳақда Bleeping Computer хабар бермоқда.
Та`кидланишича, Google Chrome веб-браузерида фойдаланувчи ташриф буюрган сайтлар тарихини ошкор қилиши мумкин бўлган заифликни бартараф этган. Chrome 136-версияси чиқарилиши билан тугатилиши кутилаётган заифлик ёки “хусусият” веб-сайт эгасига браузер тарихига тўғридан-тўғри кириш имкониятига эга бўлмасдан, ташриф буюрувчи фойдаланувчи бўлган тармоқ саҳифалари ҳақида тасаввур ҳосил қилиш имконини беради. Бундай маълумотларнинг ошкор бўлиши махфийликка таҳдид солади.
Замонавий браузерларда фойдаланувчининг Интернетда илгари ташриф буюрган манзилларига олиб борувчи ҳаволаларнинг визуал кўринишини созлаш имконияти мавжуд. Веб-дизайнер бундай параметрларни каскадли услублар жадваллари (CSS) ва “:visited” псевдокласси ёрдамида ўрнатиши мумкин.
Фойдаланувчи илгари ташриф буюрган ҳаволаларни кўрсатиш учун (улар бинафша ранг билан белгиланади) браузер бу саҳифаларни “:visited” селектори орқали каскадли услублар жадваллари ёрдамида кузатиши керак. Google’да тушунтирилишича, хатонинг моҳияти шундаки, фойдаланувчи аллақачон ташриф буюрган ҳаволалар ҳақидаги маълумотлар ташриф буюрилган сайтлар ўртасида махфийлик чегараланмаган ҳолда сақланган. Яъни ҳар қандай сайт маълум бир ҳавола илгари босилганлигини аниқлаши мумкин эди, ҳатто у бутунлай бошқа манбада кўрсатилган бўлса ҳам.
“Сиз А сайтини кўриб чиқасиз ва B сайтига ҳаволани босасиз. Кейинчалик сиз шартли зарарли C сайтига кирасиз, у ҳам B сайтига ҳаволани ўз ичига олади. У ҳаволанинг рангини аниқлаб, сизнинг B сайтида бўлганингизни билиб олиши мумкин”, деб тушунтирди Google.
Компания буни браузер дизайнидаги фундаментал хато деб атади ва у фойдаланувчиларнинг интернетдаги фаолиятини кузатиш учун қўлланилиши мумкинлигини таъкидлади. Заифлик нафақат Chrome’га, балки бошқа браузерларга - хусусан, Safari, Opera, Internet Explorer ва Firefox’га ҳам таъсир қилган.
Муаммога биринчи марта 2002 йилда хавфсизлик тадқиқотчиси Эндрю Кловер (Andrew Clover) эътибор қаратган. У Принстон университетининг Timing Attacks on Web Privacy тадқиқот мақоласига асосланиб, эҳтимолий ҳужумнинг барча босқичларини визуал тарзда намойиш этган.
Тузатиш аллақачон Chrome 136 янгиланишининг бета версиясига киритилган. Энди ташриф буюрилган ҳаволалар ҳақидаги маълумотлар ҳар бир сайт учун алоҳида сақланади ва ресурслар ўртасида узатилмайди.
Изоҳ (0)