Koniec z podglądaniem historii przeglądania. Chrome załatał 23-letnią lukę prywatności

Po ponad dwóch dekadach istnienia, jedna z najstarszych i najbardziej uporczywych luk prywatności w sieci wreszcie doczeka się rozwiązania. Google zapowiedziało, że nowa wersja przeglądarki Chrome – oznaczona numerem 136 – wyeliminuje atak typu side-channel polegający na podsłuchiwaniu historii przeglądania użytkownika. Nowa funkcja trafiła już do kanału beta, a jej stabilne wydanie planowane jest na 23 kwietnia 2025 roku.

W sercu problemu leży pozornie niewinna funkcja CSS – pseudoklasa :visited. Dzięki niej odwiedzone wcześniej linki na stronie wyświetlane są w innym kolorze – np. fioletowym – co stanowiło wygodną wskazówkę dla użytkowników. Okazało się jednak, że ta sama funkcja może być wykorzystywana do szpiegowania internautów.

Mechanizm działania ataku był prosty, ale skuteczny: odpowiednio napisany skrypt mógł analizować kolory linków na stronie i – na podstawie zmiany koloru – wnioskować, które adresy URL były już wcześniej odwiedzone przez użytkownika. Technikę tę można było realizować za pomocą metody window.getComputedStyle, inspekcji DOM, a nawet poprzez analizę interakcji użytkownika, takich jak najechanie kursorem.

Choć przeglądarki próbowały ograniczyć skuteczność tych ataków już od około 15 lat, żadne z rozwiązań nie gwarantowało pełnej ochrony. Google samo dwukrotnie uznało problem za „niemożliwy do naprawienia” – do teraz.

Nowa era prywatności: partycjonowanie historii

Kluczową innowacją w Chrome 136 jest tzw. partycjonowanie historii odwiedzin linków. Jak wyjaśnia Kyra Seevers, inżynier oprogramowania w Google, nowe podejście „zmienia sposób, w jaki przeglądarki przechowują i udostępniają dane odwiedzonych linków”. Zamiast globalnej listy odwiedzin dostępnej z poziomu każdej strony, Chrome będzie teraz przechowywać dane w partycjach z potrójnym kluczem:

• adres URL linku,

• witryna najwyższego poziomu (top-level site),

• źródło ramki (frame origin), w której link się znajduje.

Dzięki temu tylko strony spełniające wszystkie trzy warunki będą mogły rozpoznać, że użytkownik wcześniej odwiedził dany link. Dla wszelkich innych stron informacja ta będzie po prostu niedostępna.

Długa droga do rozwiązania

Atak ten po raz pierwszy został opisany przez badacza Andrew Clovra w 2002 roku, który powołał się na publikację naukowców z Princeton. Problem nagłośniono również w 2009 roku za pośrednictwem strony StartPanic oraz w 2010 roku przez humorystyczną stronę haveyourfriendsbeenthere.com, która pokazywała, jakie „niegrzeczne” witryny mogli odwiedzać nasi znajomi.

W 2010 roku Mozilla – konkurencyjny gracz na rynku przeglądarek – zaczęła wdrażać własne środki zaradcze, a inżynier David Baron szczegółowo opisał problem w swoim blogu. Mimo to, jak wykazali naukowcy z Carnegie Mellon w 2011 roku, wiele z proponowanych zabezpieczeń nadal można było obejść.

„To była wieczna gra w kotka i myszkę”, komentuje Łukasz Olejnik, ekspert ds. prywatności, który w 2010 roku współtworzył analizę wykorzystania CSS do ataków na historię przeglądania. 1 kwietnia 2025 roku, w symbolicznym geście, Olejnik opublikował wpis chwalący wprowadzenie partycjonowania: „To oznacza wielki krok naprzód w budowaniu bardziej prywatnej i pełnej szacunku sieci dla wszystkich użytkowników”.