Suốt gần hai thập kỷ qua, hầu hết các trình duyệt web đã phải đối mặt với một vấn đề quyền riêng tư nghiêm trọng có thể làm rò rỉ lịch sử duyệt web của người dùng. Tin vui là Google đang dẫn đầu nỗ lực nhằm loại bỏ hoàn toàn lỗ hổng này, định hình lại cách chúng ta duyệt web một cách an toàn và riêng tư hơn.
Lỗ Hổng Rò Rỉ Lịch Sử Duyệt Web Qua Liên Kết “:visited”
Mỗi khi bạn truy cập một trang web trong Chrome (hoặc bất kỳ trình duyệt dựa trên Chromium nào), trình duyệt sẽ đánh dấu các liên kết đã truy cập bằng cờ “:visited”, khiến chúng xuất hiện màu tím trên các kết quả tìm kiếm. Đây là một dấu hiệu trực quan hữu ích giúp người dùng nhận biết mình đã từng truy cập trang đó.
Tuy nhiên, vấn đề nằm ở chỗ trình duyệt hiển thị sự thay đổi màu sắc này mà không phân biệt trang web bạn đang truy cập khi nhấp vào liên kết. Điều này cho phép các trang web độc hại lợi dụng các đoạn mã JavaScript tinh vi để đánh cắp lịch sử duyệt web của bạn, ngay cả khi bạn đã thực hiện các biện pháp để tăng cường quyền riêng tư của trình duyệt. Lỗ hổng này đã tồn tại hơn 20 năm, gây ra nhiều rủi ro về rò rỉ thông tin.
Các trình duyệt khác đã triển khai nhiều bản vá để giảm thiểu rủi ro. Ví dụ, Firefox giới hạn các kiểu CSS có thể áp dụng cho các trang được đánh dấu “:visited” và chặn JavaScript đọc chúng. Safari sử dụng các tính năng như Intelligent Tracking Prevention để giảm thiểu nguy cơ. Tuy nhiên, theo Kyra Seevers của Google, cả hai giải pháp này đều chưa chặn được tất cả các kiểu tấn công.
Giải Pháp Đột Phá Từ Google Chrome: Phân Vùng Lịch Sử Liên Kết
Bắt đầu từ phiên bản tiếp theo, Chrome 136, Google tuyên bố đây sẽ là “trình duyệt lớn đầu tiên loại bỏ triệt để các cuộc tấn công này”. Thành tựu này đạt được thông qua việc phân chia lịch sử liên kết “:visited” thành ba phần. Thay vì lưu trữ thông tin truy cập liên kết một cách toàn cầu, Chrome sẽ phân vùng mỗi liên kết đã truy cập dựa trên ba khóa sau:
- URL của liên kết
- Trang web cấp cao nhất (Top-Level Site)
- Nguồn gốc khung (Frame Origin)
Cơ chế phân vùng này đảm bảo rằng một liên kết sẽ chỉ hiển thị trạng thái đã truy cập nếu bạn đang ở trên cùng trang web và trong cùng nguồn gốc khung (nghĩa là trang mà bạn đã nhấp vào liên kết trước đó). Có một ngoại lệ “self-links”, nghĩa là các liên kết nội bộ của một trang sẽ vẫn được đánh dấu tương ứng, ngay cả khi bạn nhấp chúng từ một trang web khác.
Cơ chế phân vùng liên kết mới của Google Chrome giúp bảo mật lịch sử duyệt web
Nói cách khác, một liên kết sẽ chỉ hiển thị là “:visited” nếu bạn đang ở trên một trang web mà bạn đã nhấp vào liên kết đó trước đây. Điều này ngăn chặn hoàn toàn các trang web độc hại theo dõi lịch sử duyệt web của bạn bằng cách ánh xạ tất cả các trang được trình duyệt đánh dấu là đã truy cập.
Cách Kích Hoạt Tính Năng Bảo Vệ Ngay Bây Giờ (Trước Phiên Bản Ổn Định)
Mặc dù Chrome phiên bản 136 chưa chính thức ra mắt công chúng tại thời điểm hiện tại, tính năng này đã có mặt trong Chrome dưới dạng cờ thử nghiệm (experimental flag) kể từ phiên bản 132. Bạn có thể kích hoạt nó ngay lập tức bằng các bước sau:
- Sao chép và dán địa chỉ sau vào thanh URL của Chrome:
chrome://flags/#partition-visited-link-database-with-self-links
- Đặt cờ sang trạng thái “Enabled” (Đã bật).
Tính năng này vẫn đang trong giai đoạn thử nghiệm, vì vậy nó có thể không hoạt động như mong đợi trên tất cả các trang web và thậm chí có thể làm hỏng một số trang cố gắng truy cập lịch sử duyệt web của bạn. Tuy nhiên, từ phiên bản 136 trở đi, nó sẽ được bật mặc định. Google cũng cho biết chức năng cũ sẽ không bị loại bỏ hoàn toàn, vì nó cung cấp những “dấu hiệu giao diện người dùng có giá trị”. Nếu bạn đang sử dụng một trình duyệt dựa trên Chromium, bạn có thể kiểm tra xem trình duyệt của mình có hỗ trợ tính năng này hay không bằng cách dán URL trên.
Việc Chrome tích hợp giải pháp phân vùng lịch sử liên kết là một bước tiến quan trọng trong việc bảo vệ quyền riêng tư trực tuyến của người dùng. Đây là minh chứng cho cam kết của Google trong việc xây dựng một môi trường duyệt web an toàn và đáng tin cậy hơn cho mọi người dùng. Hãy luôn cập nhật trình duyệt của mình để tận hưởng những tính năng bảo mật mới nhất và giữ an toàn cho dữ liệu cá nhân.
Tài liệu tham khảo:
- Bài đăng blog của Google Developer về liên kết đã truy cập
- Cách làm cho trình duyệt của bạn riêng tư hơn