Trong gần hai thập kỷ, các trình duyệt web luôn tồn tại một lỗ hổng bảo mật nghiêm trọng có thể làm rò rỉ lịch sử duyệt web của người dùng. Tin vui là Google đang dẫn đầu nỗ lực để loại bỏ hoàn toàn vấn đề này, mang lại quyền riêng tư tốt hơn cho hàng tỷ người dùng Chrome.
Chrome Khắc Phục Lỗ Hổng Rò Rỉ Dữ Liệu Liên Kết Chéo Trang
Mỗi khi bạn truy cập một trang web trong Chrome (hoặc trình duyệt dựa trên Chromium), trình duyệt sẽ áp dụng kiểu dáng cho các liên kết đã truy cập bằng cờ “:visited”, khiến chúng xuất hiện màu tím trong kết quả tìm kiếm. Đây là một chỉ báo trực quan hữu ích giúp bạn nhận biết mình đã từng ghé thăm trang đó.
Tuy nhiên, trình duyệt thực hiện thay đổi màu sắc này bất kể trang web bạn đang truy cập khi nhấp vào liên kết. Điều này cho phép các trang web độc hại viết mã JavaScript sáng tạo và đánh cắp lịch sử duyệt web của bạn, ngay cả khi bạn đã cố gắng tăng cường quyền riêng tư cho trình duyệt của mình.
Minh họa cơ chế phân vùng lịch sử liên kết đã truy cập của Google Chrome
Vấn đề này đã tồn tại trước cả Chrome và gây ra rò rỉ dữ liệu trong hơn 20 năm, với nhiều trình duyệt đã triển khai các bản vá khác nhau để giảm thiểu rủi ro. Kyra Seevers từ Google đã giải thích chi tiết hơn trong một bài đăng blog thông báo về bản cập nhật mới. Ví dụ, Firefox giới hạn các kiểu CSS có thể áp dụng cho các trang được đánh dấu “:visited” và chặn JavaScript đọc chúng. Safari sử dụng các tính năng như Intelligent Tracking Prevention để giảm thiểu rủi ro, nhưng cả hai giải pháp này đều không chặn được tất cả các cuộc tấn công.
Bắt đầu từ bản phát hành tiếp theo, phiên bản 136, Chrome là “trình duyệt lớn đầu tiên khiến các cuộc tấn công này trở nên lỗi thời.” Điều này được thực hiện bằng cách chia lịch sử liên kết “:visited” thành ba phần. Thay vì lưu trữ lượt truy cập liên kết trên toàn cầu, Chrome sẽ chia mỗi liên kết đã truy cập bằng ba “chìa khóa” sau:
- Link URL: Đường dẫn URL cụ thể của liên kết.
- Top-Level Site: Tên miền của trang web cấp cao nhất mà bạn đang truy cập.
- Frame Origin: Nguồn gốc của khung (iframe) nơi bạn nhấp vào liên kết.
Sự phân chia này đảm bảo rằng một liên kết sẽ chỉ xuất hiện dưới dạng đã truy cập trên cùng trang web và trong cùng nguồn gốc khung (nghĩa là trang bạn đã nhấp vào liên kết) nơi bạn đã nhấp vào nó trước đó. Có một ngoại lệ “liên kết tự thân” (self-links), nghĩa là các liên kết đã truy cập của một trang web sẽ được đánh dấu tương ứng, ngay cả khi bạn nhấp vào chúng từ một trang web khác.
Nói cách khác, một liên kết sẽ chỉ được hiển thị là “:visited” nếu bạn đang ở trên một trang web mà bạn đã nhấp vào liên kết đó trước đây. Điều này ngăn chặn các trang web độc hại theo dõi lịch sử duyệt web của bạn bằng cách lập bản đồ tất cả các trang được trình duyệt đánh dấu là đã truy cập.
Chủ Động Bảo Vệ Quyền Riêng Tư Của Bạn Ngay Bây Giờ
Tại thời điểm viết bài này, Chrome phiên bản 136 vẫn chưa được triển khai rộng rãi cho công chúng, nhưng tính năng này đã có mặt trong Chrome dưới dạng cờ thử nghiệm (experimental flag) kể từ phiên bản 132. Để bật tính năng này, hãy làm theo các bước sau:
- Sao chép và dán địa chỉ sau vào thanh URL của Chrome: chrome://flags/#partition-visited-link-database-with-self-links
- Đặt cờ thành Enabled.
Tính năng này chưa ổn định hoàn toàn, vì vậy nó có thể không hoạt động như mong đợi trên tất cả các trang web và thậm chí có thể làm hỏng một số trang cố gắng truy cập lịch sử duyệt web của bạn. Bắt đầu từ phiên bản 136, tính năng này sẽ được bật mặc định. Tuy nhiên, chức năng cũ sẽ không bị loại bỏ hoàn toàn — Google cho rằng việc xóa nó sẽ loại bỏ các dấu hiệu giao diện người dùng có giá trị.
Nếu bạn đang sử dụng một trình duyệt hỗ trợ Chromium, bạn có thể sẽ phải đợi tính năng này đến. Trong thời gian chờ đợi, bạn có thể sao chép-dán URL trên để kiểm tra xem trình duyệt của bạn có hỗ trợ tính năng này hay không.
Kết luận
Việc Chrome tiên phong trong việc khắc phục lỗ hổng “:visited” link là một bước tiến quan trọng trong việc bảo vệ quyền riêng tư người dùng trên không gian mạng. Lỗ hổng đã tồn tại gần hai thập kỷ này cho phép các trang web độc hại thu thập thông tin duyệt web của bạn, nhưng với cơ chế phân vùng lịch sử liên kết mới, Chrome 136 sẽ chặn đứng hoàn toàn mối nguy này. Đây không chỉ là một cải tiến về kỹ thuật mà còn là minh chứng cho cam kết của Google trong việc tạo ra một môi trường duyệt web an toàn và đáng tin cậy hơn. Hãy trải nghiệm sự bảo mật nâng cao này và chia sẻ cảm nhận của bạn về tính năng mới.
