Tạp Chí CNTT

Chỉ mới đây thôi, Google phát hành bản vá cho một lỗ hổng nghiêm trọng trong trình duyệt Chrome đã tồn tại suốt nhiều năm. Bằng cách nào đó, lỗ hổng này đã tồn tại ngay từ những ngày đầu tiên: Chrome ra mắt lần đầu vào tháng 9 năm 2008, tức là lỗi này đã tồn tại suốt 16 năm.

Người dùng Chrome đã từ lâu làm quen với những đường link có màu xanh dương và màu tím, trong đó màu xanh đại diện cho đường link mặc định, và các liên kết màu tím cho thấy bạn đã từng truy cập đường link đó.

Chính cơ chế này đã mở ra cánh cửa cho lỗ hổng về quyền riêng tư, thứ có thể âm thầm tiết lộ một phần lịch sử duyệt web của bạn.

Về cơ bản, các liên kết sẽ hiển thị màu tím nếu bạn đã nhấp vào chúng trước đó, bất kể bạn đã nhấp vào chúng ở đâu.

Điều này cho phép các trang web khác chạy các đoạn mã ẩn để kiểm tra xem liên kết nào có màu tím và từ đó, biết được bạn đã truy cập những trang nào.

Google cho biết đây không chỉ là vấn đề về quyền riêng tư, mà là một “lỗi thiết kế mang tính cốt lõi” trong trình duyệt.

Lỗi đã gây ra những rủi ro bảo mật thực sự, bao gồm theo dõi và tạo hồ sơ người dùng, và thậm chí dẫn tới lừa bằng hình thức phishing. Ít ra Google cũng đã tìm ra lỗi và vá nó, dù rằng mất tới 16 năm.

Để khắc phục vấn đề này, bản cập nhật Chrome tiếp theo sẽ áp dụng cơ chế phân vùng ba khóa (triple-key partitioning). Điều này sẽ ngăn Chrome theo dõi các liên kết đã truy cập trên phạm vi toàn cầu.

Thay vào đó, trình duyệt sẽ sử dụng ba yếu tố trước khi đánh dấu một liên kết là “đã truy cập”: đó là URL thực sự của liên kết, trang web cấp cao nhất (top-level site) mà bạn đang truy cập, và nguồn khung (frame origin) nơi liên kết đó xuất hiện.

Nói một cách đơn giản, liên kết chỉ hiển thị màu tím nếu bạn đã từng nhấp vào đúng liên kết đó, trên đúng trang web đó, và trong đúng khung đó. Sau bản cập nhật mới, người dùng sẽ ít thấy “đường link màu tím” hơn trước.

Google cho biết bản sửa lỗi này sẽ chính thức được phát hành vào cuối tháng Tư, trong phiên bản Chrome 136.