Trong gần hai thập kỷ qua, hầu hết các trình duyệt web đều phải đối mặt với một vấn đề quyền riêng tư nghiêm trọng, có khả năng làm rò rỉ lịch sử duyệt web của người dùng. Tin vui là Google đang dẫn đầu nỗ lực nhằm chấm dứt hoàn toàn lỗ hổng bảo mật này trên trình duyệt Chrome, mang lại trải nghiệm duyệt web an toàn và đáng tin cậy hơn cho cộng đồng người dùng.
Chrome Khắc Phục Lỗ Hổng Rò Rỉ Liên Trang (Cross-Site Leaks)
Mỗi khi bạn truy cập một trang web trong Chrome (hoặc bất kỳ trình duyệt dựa trên Chromium nào), trình duyệt sẽ đánh dấu các liên kết đã truy cập bằng một cờ “:visited”, khiến chúng hiển thị màu tím trong kết quả tìm kiếm. Đây là một chỉ báo trực quan hữu ích giúp bạn nhận biết mình đã từng truy cập trang đó trước đây.
Tuy nhiên, trình duyệt thực hiện thay đổi màu sắc này bất kể bạn đang ở trang web nào khi nhấp vào liên kết. Điều này tạo điều kiện cho các trang web độc hại sử dụng mã JavaScript tinh vi để đánh cắp lịch sử duyệt web của bạn, ngay cả khi bạn đã cố gắng tối ưu hóa quyền riêng tư cho trình duyệt của mình.
Ví dụ Google minh họa cách phân vùng lịch sử liên kết đã truy cập trong Chrome để tăng cường quyền riêng tư
Vấn đề này đã tồn tại từ trước khi Chrome ra đời và gây ra các vụ rò rỉ dữ liệu trong hơn 20 năm, buộc các trình duyệt phải liên tục triển khai nhiều bản vá lỗi khác nhau để giảm thiểu rủi ro.
Kyra Seevers từ Google đã giải thích chi tiết hơn trong một bài đăng trên blog, công bố bản cập nhật mới. Ví dụ, Firefox giới hạn các kiểu CSS có thể áp dụng cho các trang được đánh dấu “:visited” và chặn JavaScript đọc chúng. Safari sử dụng các tính năng như Ngăn chặn Theo dõi Thông minh (Intelligent Tracking Prevention) để giảm thiểu rủi ro, nhưng cả hai giải pháp này đều chưa thể chặn đứng tất cả các cuộc tấn công tiềm tàng.
Bắt đầu từ bản phát hành tiếp theo, phiên bản 136, Chrome sẽ trở thành “trình duyệt lớn đầu tiên khiến các cuộc tấn công này trở nên lỗi thời”. Điều này đạt được bằng cách phân chia lịch sử liên kết “:visited” thành ba phần. Thay vì lưu trữ lượt truy cập liên kết một cách toàn cầu như trước đây, Chrome sẽ phân chia mỗi liên kết đã truy cập bằng ba khóa sau:
- URL của Liên kết (Link URL)
- Trang Web Cấp Cao Nhất (Top-Level Site)
- Nguồn Gốc Khung (Frame Origin)
Sự phân chia này đảm bảo rằng một liên kết sẽ chỉ hiển thị là đã truy cập khi bạn đang ở trên cùng một trang web và trong cùng một nguồn gốc khung (tức là trang mà bạn đã nhấp vào liên kết đó trước đây) nơi bạn đã truy cập nó. Có một ngoại lệ dành cho “self-links”, nghĩa là các liên kết đã truy cập của một trang web sẽ được đánh dấu tương ứng, ngay cả khi bạn nhấp vào chúng từ một trang web khác.
Nói cách khác, một liên kết sẽ chỉ được hiển thị là “:visited” nếu bạn đang ở trên một trang web mà bạn đã nhấp vào liên kết đó trước đây. Điều này ngăn chặn các trang web độc hại theo dõi lịch sử duyệt web của bạn bằng cách lập bản đồ tất cả các trang được trình duyệt đánh dấu là đã truy cập.
Kích Hoạt Tính Năng Bảo Vệ Ngay Bây Giờ (Phiên Bản Thử Nghiệm)
Tại thời điểm viết bài này, Chrome phiên bản 136 chưa được phát hành rộng rãi ra công chúng. Tuy nhiên, tính năng này đã có sẵn trong Chrome dưới dạng cờ thử nghiệm (experimental flag) kể từ phiên bản 132. Để bật tính năng này, bạn có thể làm theo các bước sau:
- Sao chép và dán địa chỉ sau vào thanh URL của Chrome: chrome://flags/#partition-visited-link-database-with-self-links
- Đặt cờ này thành Enabled (Đã Bật).
Tính năng này vẫn chưa ổn định, vì vậy nó có thể không hoạt động như mong đợi trên tất cả các trang web và thậm chí có thể làm hỏng một số trang đang cố gắng truy cập lịch sử duyệt web của bạn. Bắt đầu từ phiên bản 136, nó sẽ được bật mặc định. Tuy nhiên, chức năng cũ sẽ không bị loại bỏ hoàn toàn — Google cho rằng việc loại bỏ nó sẽ xóa đi các gợi ý giao diện người dùng có giá trị.
Nếu bạn đang sử dụng một trình duyệt dựa trên Chromium khác, bạn có thể sẽ phải đợi tính năng này được cập nhật. Trong thời gian chờ đợi, bạn có thể thử sao chép và dán URL trên để kiểm tra xem trình duyệt của mình có hỗ trợ tính năng này hay không.
Google Chrome đang tiếp tục khẳng định cam kết của mình trong việc bảo vệ quyền riêng tư và dữ liệu người dùng. Việc khắc phục lỗ hổng rò rỉ lịch sử duyệt web là một bước tiến quan trọng, giúp người dùng an tâm hơn khi trải nghiệm internet. Hãy theo dõi các bản cập nhật của Chrome để tận hưởng những cải tiến bảo mật mới nhất và chia sẻ trải nghiệm của bạn với chúng tôi!
