Google đang cập nhật trình duyệt Chrome và phiên bản này bao gồm bản vá cho một lỗ hổng bảo mật nghiêm trọng đã đe dọa quyền riêng tư của bạn trong suốt hai mươi năm qua. Bất kỳ trang web nào trước đây cũng có thể thu thập lịch sử duyệt web của bạn.
@media(max-device-width: 767px) { .ccmPlayerTextTitle { display: none; } } #ccmPlayer-1016954 .ccmPlayerPlaceHolder { vị trí: tuyệt đối; chiều rộng: 100%; chiều cao: 100%; flex-direction: cột; căn chỉnh nội dung: ở giữa; hiển thị: flex; căn chỉnh văn bản: ở giữa; ; màu sắc: #474a4f; } .ccmPLayerLoaderBox { kích thước hộp: hộp viền; chiều cao: 59px; chiều rộng: 59px; lề: 5px tự động; } .ccmPlayerTextDefault { đầu trang: -10px; vị trí: tương đối; } .ccmPlayerTextDefault:before { content: "Đang tải video của bạn"; } #ccmPlayer-1016954 .ccmPLayerLoader { màu: #fff; vị trí: tương đối; box-sizing: border-box; bên trái: -9999px; trên cùng: -9999px; chiều rộng: 0; chiều cao: 0; tràn: ẩn; } #ccmPlayer-1016954 .ccmPLayerLoader:sau, #ccmPlayer-1016954 .ccmPLayerLoader:trước { kích thước hộp: hộp viền; hiển thị: không có } #ccmPlayer-1016954 .ccmPLayerLoader.is-active { chiều rộng: 100%; chiều cao: 100%; trái: 0; trên cùng: 0; vị trí: tương đối; } #ccmPlayer-1016954 .ccmPLayerLoader.is-active:after, #ccmPlayer-1016954 .ccmPLayerLoader.is-active:before { display: block } @keyframes rotation { 0% { transform: rotate(0) } to { transform: rotate(359deg) } } @keyframes blink { 0% { opacity: .5 } to { opacity: 1 } } #ccmPlayer-1016954 .ccmPLayerLoader[data-text]:before { position: relative; trái: 0; trên cùng: 50%; màu sắc: currentColor; font-family: Helvetica, Arial, sans-serif; căn chỉnh văn bản: ở giữa; chiều rộng: 100%; font-size: 14px } #ccmPlayer-1016954 .ccmPLayerLoader[data-text=""]:before { content: "Đang tải" } #ccmPlayer-1016954 .ccmPLayerLoader[data-text]:not([data-text=""]):before { content: attr(data-text) } #ccmPlayer-1016954 .ccmPLayerLoader[data-text][data-blink]:before { animation: nhấp nháy 1 giây tuyến tính vô hạn xen kẽ } #ccmPlayer-1016954 .ccmPLayerLoader-default[data-text]:before { top: calc(50% - 63px) } #ccmPlayer-1016954 .ccmPLayerLoader-default:after { content: ""; vị trí: tương đối; chiều rộng: 48px; chiều cao: 48px; đường viền: 8px solid #474a4f; border-left-color: trong suốt; bán kính đường viền: 50%; trên cùng: calc(50% - 24px); bên trái: calc(50% - 24px); hoạt ảnh: quay 1 giây tuyến tính vô hạn } #ccmPlayer-1016954 .ccmPLayerLoader-default[data-half]:after { border-right-color: transparent } #ccmPlayer-1016954 .ccmPLayerLoader-default[data-inverse]:after { animation-direction: reverse } .ccmPlayer#ccmPlayer-1016954 { position: absolute; chiều rộng: 100%; chiều cao: 100%; màu nền: #dcdcdc; kích thước nền: bìa; flex-direction: cột; căn chỉnh nội dung: ở giữa; hiển thị: flex; căn chỉnh văn bản: ở giữa; Họ phông chữ: Roboto, sans-serif; cỡ chữ: 20px; font-weight: đậm; chiều cao dòng: 26px; màu sắc: #474a4f; } id="attachment_2633256" aria-describedby="caption-attachment-2633256" style="width: 1200px" class="wp-caption aligncenter">
Tín dụng: 123RF
Google thường xuyên phát hành các bản cập nhật để cải thiện tính bảo mật của trình duyệt Chrome, đôi khi có cả những lỗi nghiêm trọng. Tuy nhiên, hiếm khi nào có vấn đề về lỗi cố hữu vì nguồn gốc của trình duyệt... vẫn còn bỏ ngỏ trong suốt thời gian qua. Tuy nhiên, đây chính xác là loại lỗi mà công ty đang sửa trong bản cập nhật tiếp theo, cùng với những cải tiến khác.
Bản thân lỗi này gây nguy hiểm cho tính bảo mật của lịch sử trang web của bạn. Điều này có thể nhanh chóng dẫn đến vi phạm nghiêm trọng quyền riêng tư của bạn – đồng thời tạo điều kiện cho các vụ lừa đảo trực tuyến. Hiện tại, tin tặc hoặc các tác nhân khác vẫn có thể chiếm quyền điều khiển hệ thống để theo dõi lịch sử duyệt web của bạn.
Trong Chrome, hành vi này được liên kết với bộ chọn CSS :visited. Nhưng bằng cách duy trì tính toàn cầu, cái sau sẽ trở thành bề mặt mà mã độc có thể dựa vào. Công ty giải thích một cách rất cụ thể rằng một trang web độc hại có thể ẩn một danh sách khá dài và đa dạng các liên kết đến các trang web khác trong mã nguồn của một trang web.
Từ đó, chỉ cần quan sát thẻ :visited bằng một tập lệnh. Điều này cho phép tìm các liên kết thay đổi màu sắc khi tải đối với mỗi khách truy cập. Bằng cách tham chiếu chéo dữ liệu này với các dữ liệu khác, chúng tôi có thể lấy ít nhất một phần lịch sử của người dùng và liên kết lịch sử duyệt web này với danh tính của họ.
Bắt đầu từ phiên bản 136, Chrome cuối cùng đã dựng nên một rào cản chặt chẽ hơn giữa các trang web bạn truy cập. Bản vá giới thiệu một phương pháp mới mà công ty gọi là Phân vùng khóa ba. Trước khi đánh dấu liên kết bằng thẻ CSS :visited, trình duyệt sẽ kiểm tra URL của liên kết, tên miền của trang web nơi liên kết được đặt và nguồn gốc của khung nơi liên kết xuất hiện. Theo cách này, mỗi trang web sẽ có lịch sử liên kết đã truy cập riêng.
Google Chrome 136 sẽ ra mắt trong vài ngày tới. Do đó, không cần phải cập nhật trình duyệt của bạn vào lúc này. Tuy nhiên, bạn không nên trì hoãn ngay khi phần mềm hiển thị thông báo yêu cầu bạn khởi động lại phần mềm để cài đặt bản cập nhật.
@media(max-device-width: 767px) { .ccmPlayerTextTitle { display: none; } } #ccmPlayer-1016954 .ccmPlayerPlaceHolder { vị trí: tuyệt đối; chiều rộng: 100%; chiều cao: 100%; flex-direction: cột; căn chỉnh nội dung: ở giữa; hiển thị: flex; căn chỉnh văn bản: ở giữa; ; màu sắc: #474a4f; } .ccmPLayerLoaderBox { kích thước hộp: hộp viền; chiều cao: 59px; chiều rộng: 59px; lề: 5px tự động; } .ccmPlayerTextDefault { đầu trang: -10px; vị trí: tương đối; } .ccmPlayerTextDefault:before { content: "Đang tải video của bạn"; } #ccmPlayer-1016954 .ccmPLayerLoader { màu: #fff; vị trí: tương đối; box-sizing: border-box; bên trái: -9999px; trên cùng: -9999px; chiều rộng: 0; chiều cao: 0; tràn: ẩn; } #ccmPlayer-1016954 .ccmPLayerLoader:sau, #ccmPlayer-1016954 .ccmPLayerLoader:trước { kích thước hộp: hộp viền; hiển thị: không có } #ccmPlayer-1016954 .ccmPLayerLoader.is-active { chiều rộng: 100%; chiều cao: 100%; trái: 0; trên cùng: 0; vị trí: tương đối; } #ccmPlayer-1016954 .ccmPLayerLoader.is-active:after, #ccmPlayer-1016954 .ccmPLayerLoader.is-active:before { display: block } @keyframes rotation { 0% { transform: rotate(0) } to { transform: rotate(359deg) } } @keyframes blink { 0% { opacity: .5 } to { opacity: 1 } } #ccmPlayer-1016954 .ccmPLayerLoader[data-text]:before { position: relative; trái: 0; trên cùng: 50%; màu sắc: currentColor; font-family: Helvetica, Arial, sans-serif; căn chỉnh văn bản: ở giữa; chiều rộng: 100%; font-size: 14px } #ccmPlayer-1016954 .ccmPLayerLoader[data-text=""]:before { content: "Đang tải" } #ccmPlayer-1016954 .ccmPLayerLoader[data-text]:not([data-text=""]):before { content: attr(data-text) } #ccmPlayer-1016954 .ccmPLayerLoader[data-text][data-blink]:before { animation: nhấp nháy 1 giây tuyến tính vô hạn xen kẽ } #ccmPlayer-1016954 .ccmPLayerLoader-default[data-text]:before { top: calc(50% - 63px) } #ccmPlayer-1016954 .ccmPLayerLoader-default:after { content: ""; vị trí: tương đối; chiều rộng: 48px; chiều cao: 48px; đường viền: 8px solid #474a4f; border-left-color: trong suốt; bán kính đường viền: 50%; trên cùng: calc(50% - 24px); bên trái: calc(50% - 24px); hoạt ảnh: quay 1 giây tuyến tính vô hạn } #ccmPlayer-1016954 .ccmPLayerLoader-default[data-half]:after { border-right-color: transparent } #ccmPlayer-1016954 .ccmPLayerLoader-default[data-inverse]:after { animation-direction: reverse } .ccmPlayer#ccmPlayer-1016954 { position: absolute; chiều rộng: 100%; chiều cao: 100%; màu nền: #dcdcdc; kích thước nền: bìa; flex-direction: cột; căn chỉnh nội dung: ở giữa; hiển thị: flex; căn chỉnh văn bản: ở giữa; Họ phông chữ: Roboto, sans-serif; cỡ chữ: 20px; font-weight: đậm; chiều cao dòng: 26px; màu sắc: #474a4f; } id="attachment_2633256" aria-describedby="caption-attachment-2633256" style="width: 1200px" class="wp-caption aligncenter">
Tín dụng: 123RF
Google thường xuyên phát hành các bản cập nhật để cải thiện tính bảo mật của trình duyệt Chrome, đôi khi có cả những lỗi nghiêm trọng. Tuy nhiên, hiếm khi nào có vấn đề về lỗi cố hữu vì nguồn gốc của trình duyệt... vẫn còn bỏ ngỏ trong suốt thời gian qua. Tuy nhiên, đây chính xác là loại lỗi mà công ty đang sửa trong bản cập nhật tiếp theo, cùng với những cải tiến khác.
Bản thân lỗi này gây nguy hiểm cho tính bảo mật của lịch sử trang web của bạn. Điều này có thể nhanh chóng dẫn đến vi phạm nghiêm trọng quyền riêng tư của bạn – đồng thời tạo điều kiện cho các vụ lừa đảo trực tuyến. Hiện tại, tin tặc hoặc các tác nhân khác vẫn có thể chiếm quyền điều khiển hệ thống để theo dõi lịch sử duyệt web của bạn.
Một thẻ CSS và một tập lệnh đơn giản là đủ để xác định lịch sử của bạn
Bởi vì khi bạn nhấp vào liên kết trong Chrome, liên kết đó sẽ thay đổi màu sắc theo thiết kế. Sau đó, nó sẽ có màu khác nhau trên tất cả các trang web hiển thị màu đó. Và điều này diễn ra cho đến khi bạn xóa bộ nhớ đệm. Hệ thống ban đầu được thiết kế để cải thiện trải nghiệm của người dùng. Với tính năng này, bạn có thể xác định trực quan các trang bạn đã truy cập, giúp bạn tiết kiệm những lần truy cập không cần thiết.Trong Chrome, hành vi này được liên kết với bộ chọn CSS :visited. Nhưng bằng cách duy trì tính toàn cầu, cái sau sẽ trở thành bề mặt mà mã độc có thể dựa vào. Công ty giải thích một cách rất cụ thể rằng một trang web độc hại có thể ẩn một danh sách khá dài và đa dạng các liên kết đến các trang web khác trong mã nguồn của một trang web.
Từ đó, chỉ cần quan sát thẻ :visited bằng một tập lệnh. Điều này cho phép tìm các liên kết thay đổi màu sắc khi tải đối với mỗi khách truy cập. Bằng cách tham chiếu chéo dữ liệu này với các dữ liệu khác, chúng tôi có thể lấy ít nhất một phần lịch sử của người dùng và liên kết lịch sử duyệt web này với danh tính của họ.
Lỗ hổng này cho phép tin tặc nhắm mục tiêu vào các chiến dịch độc hại của chúng
Phương pháp này đang được khai thác tích cực trong thực tế. Ví dụ, nó có thể cho phép tin tặc dễ dàng xác định thông tin quan trọng để nhắm mục tiêu lừa đảo hiệu quả hơn. Chẳng hạn như tên ngân hàng của nạn nhân hoặc thói quen mua sắm trực tuyến của họ, cùng nhiều ví dụ khác. Rõ ràng Google đã chậm trễ trong việc giải quyết vấn đề này, vốn đã tồn tại trong 20 năm. Nhưng việc bảo mật hệ thống vẫn phức tạp vì nó đòi hỏi phải xem xét lại hoàn toàn cách thức hoạt động của khía cạnh này trên trình duyệt.Bắt đầu từ phiên bản 136, Chrome cuối cùng đã dựng nên một rào cản chặt chẽ hơn giữa các trang web bạn truy cập. Bản vá giới thiệu một phương pháp mới mà công ty gọi là Phân vùng khóa ba. Trước khi đánh dấu liên kết bằng thẻ CSS :visited, trình duyệt sẽ kiểm tra URL của liên kết, tên miền của trang web nơi liên kết được đặt và nguồn gốc của khung nơi liên kết xuất hiện. Theo cách này, mỗi trang web sẽ có lịch sử liên kết đã truy cập riêng.
Google Chrome 136 sẽ ra mắt trong vài ngày tới. Do đó, không cần phải cập nhật trình duyệt của bạn vào lúc này. Tuy nhiên, bạn không nên trì hoãn ngay khi phần mềm hiển thị thông báo yêu cầu bạn khởi động lại phần mềm để cài đặt bản cập nhật.
