Chrome устраняет многолетнюю уязвимость, позволявшую сайтам просматривать вашу историю посещений.

23-летняя уязвимость, позволяющая отслеживать историю посещений веб-сайтов, будет устранена в новой версии Chrome 136, выпущенной в прошлый четверг в бета-канале. По крайней мере, на это надеются.

Атака на конфиденциальность, известная как "отслеживание истории браузера" (browser history sniffing), заключается в чтении цветовых значений веб-ссылок на странице, чтобы определить, посещались ли эти страницы ранее. Веб-издатели и третьи стороны, способные запускать скрипты, использовали эту технику для отображения ссылок на веб-странице посетителю, а затем проверяли, как браузер посетителя установил цвет для этих ссылок на отрисованной веб-странице.

Уязвимость была частично смягчена около 15 лет назад, однако неэффективно. Были разработаны другие способы получения информации о цвете ссылок, помимо метода getComputedStyle.

По словам Киры Сиверс (Kyra Seevers), инженера-программиста Google, в публикации в блоге, Chrome 136, выход стабильной версии которой запланирован на 23 апреля 2025 года, "является первым основным браузероном, который сделает эти атаки устаревшими".

Это своего рода поворот для команды Chrome, которая дважды отмечала сообщения об ошибках Chromium, связанных с этой проблемой, как "не будем исправлять" (won't fix). Дэвид Барон (David Baron), в настоящее время инженер-программист Google, работавший в то время в Mozilla, подал отчет об ошибке Firefox по этой проблеме еще 28 мая 2002 года. 9 марта 2010 года Барон опубликовал запись в блоге, в которой подробно описал проблему и предложил некоторые меры по ее смягчению.