Trong gần hai thập kỷ qua, hầu hết các trình duyệt web đều phải đối mặt với một vấn đề quyền riêng tư nghiêm trọng có thể làm rò rỉ lịch sử duyệt web của người dùng. May mắn thay, Google đang tiên phong trong việc giải quyết triệt để lỗ hổng này, đảm bảo trải nghiệm duyệt web an toàn và riêng tư hơn cho người dùng.
Lỗ Hổng “Rò Rỉ Chéo Trang” Trên Chrome và Các Trình Duyệt Khác
Mỗi khi bạn truy cập một trang web trong Chrome (hoặc trình duyệt dựa trên Chromium), trình duyệt sẽ đánh dấu các liên kết đã được truy cập bằng cờ “:visited”, khiến chúng hiển thị màu tím trong kết quả tìm kiếm. Đây là một chỉ báo trực quan hữu ích giúp người dùng nhận biết mình đã ghé thăm trang đó trước đây.
Tuy nhiên, sự thay đổi màu sắc này được trình duyệt hiển thị mà không phụ thuộc vào trang web bạn đang truy cập khi nhấp vào liên kết. Điều này cho phép các trang web độc hại viết JavaScript tinh vi để đánh cắp lịch sử duyệt web của bạn, ngay cả khi bạn đã thực hiện các bước để tăng cường quyền riêng tư cho trình duyệt.
Minh họa cơ chế phân vùng lịch sử liên kết đã truy cập trong trình duyệt Chrome.
Vấn đề này đã tồn tại từ trước Chrome và gây ra rò rỉ dữ liệu trong hơn 20 năm, với nhiều trình duyệt đã triển khai các bản sửa lỗi khác nhau để giảm thiểu rủi ro. Kyra Seevers từ Google đã giải thích chi tiết hơn trong một bài đăng trên blog công bố bản cập nhật mới. Ví dụ, Firefox giới hạn các kiểu CSS có thể áp dụng cho các trang được đánh dấu “:visited” và chặn JavaScript đọc chúng. Safari sử dụng các tính năng như Ngăn chặn Theo dõi Thông minh (Intelligent Tracking Prevention) để giảm thiểu rủi ro. Tuy nhiên, không giải pháp nào trong số này có thể ngăn chặn hoàn toàn mọi cuộc tấn công.
Giải Pháp Đột Phá: Phân Vùng Lịch Sử Liên Kết Của Chrome
Bắt đầu từ bản phát hành tiếp theo, phiên bản 136, Chrome sẽ là “trình duyệt lớn đầu tiên vô hiệu hóa hoàn toàn các cuộc tấn công này”. Điều này được thực hiện bằng cách chia lịch sử liên kết “:visited” thành ba phần. Trong tương lai, thay vì lưu trữ lượt truy cập liên kết trên toàn cầu, Chrome sẽ phân chia mỗi liên kết đã truy cập bằng cách sử dụng ba khóa sau:
- URL Liên kết: Địa chỉ cụ thể của liên kết đã truy cập.
- Trang Web Cấp Cao Nhất: Tên miền chính của trang web chứa liên kết.
- Nguồn Khung: Nguồn gốc của khung (iframe) hoặc trang mà bạn đã nhấp vào liên kết.
Sự phân chia này đảm bảo rằng một liên kết sẽ chỉ xuất hiện là đã truy cập trên cùng một trang web và trong cùng một nguồn khung (tức là trang mà bạn đã nhấp vào liên kết đó trước đây) nơi bạn đã nhấp vào nó. Có một ngoại lệ “liên kết tự thân”, nghĩa là các liên kết đã truy cập của một trang web sẽ được đánh dấu tương ứng, ngay cả khi bạn nhấp vào chúng từ một trang web khác.
Nói cách khác, một liên kết sẽ chỉ hiển thị là “:visited” nếu bạn đang ở trên một trang web mà bạn đã nhấp vào liên kết đó trước đây. Điều này ngăn chặn các trang web độc hại theo dõi lịch sử duyệt web của bạn bằng cách lập bản đồ tất cả các trang được trình duyệt đánh dấu là đã truy cập.
Cách Kích Hoạt Tính Năng Mới Ngay Hôm Nay
Mặc dù Chrome phiên bản 136 chưa được phát hành rộng rãi tại thời điểm hiện tại, tính năng này đã có mặt trong Chrome dưới dạng cờ thử nghiệm (experimental flag) kể từ phiên bản 132. Để bật tính năng này, bạn có thể làm theo các bước sau:
- Sao chép và dán địa chỉ sau vào thanh URL của Chrome: chrome://flags/#partition-visited-link-database-with-self-links
- Đặt cờ này thành Enabled (Đã bật).
Tính năng này vẫn chưa ổn định, do đó nó có thể không hoạt động như mong đợi trên tất cả các trang web và thậm chí có thể làm hỏng một vài trang cố gắng truy cập lịch sử duyệt web của bạn. Bắt đầu từ phiên bản 136, nó sẽ được bật mặc định. Tuy nhiên, chức năng cũ sẽ không bị loại bỏ hoàn toàn, Google khẳng định việc loại bỏ nó sẽ xóa đi các gợi ý giao diện người dùng có giá trị. Nếu bạn đang sử dụng một trình duyệt dựa trên Chromium, bạn có thể sẽ phải đợi tính năng này được triển khai chính thức. Trong thời gian chờ đợi, bạn có thể sao chép-dán URL trên để kiểm tra xem trình duyệt của mình có hỗ trợ tính năng này không.
Với bước tiến quan trọng này, Google Chrome không chỉ giải quyết một lỗ hổng bảo mật lâu đời mà còn khẳng định cam kết mạnh mẽ trong việc bảo vệ quyền riêng tư và dữ liệu cá nhân của người dùng. Việc phân vùng lịch sử liên kết là một ví dụ điển hình về cách các trình duyệt hiện đại đang phát triển để đối phó với những thách thức bảo mật ngày càng phức tạp. Hãy cùng theo dõi các bản cập nhật tiếp theo để trải nghiệm sự an toàn và tiện lợi mà Chrome mang lại.
