Google Chrome đang trở thành trình duyệt web đầu tiên được bảo vệ hoàn toàn khỏi các lỗ hổng bảo mật liên quan đến trạng thái liên kết đã truy cập, với việc triển khai tính năng “phân vùng liên kết đã truy cập” (visited link partitioning). Sự thay đổi này dự kiến cũng sẽ áp dụng cho các trình duyệt dựa trên Chromium khác như Vivaldi và Microsoft Edge, đánh dấu một bước tiến quan trọng trong việc tăng cường quyền riêng tư và bảo mật liên kết Chrome cho người dùng. Chắc hẳn bạn đã từng thấy một số liên kết trên các trang web chuyển sang màu tím hoặc một chỉ báo trực quan khác sau khi bạn đã truy cập trang đó. Giống như nhiều tính năng khác được các trình duyệt web triển khai trong nhiều năm qua, nó vô tình trở thành một cách hiệu quả để theo dõi người dùng trên web khi họ truy cập các trang khác nhau.
Lỗ Hổng Bảo Mật Từ Liên Kết Đã Truy Cập Hoạt Động Như Thế Nào?
Các trình duyệt web cho phép các trang web tùy chỉnh giao diện của văn bản và các yếu tố khác bằng cách sử dụng các bộ chọn CSS (CSS selectors). Ví dụ, một trang web có thể thêm các kiểu cho ‘.dropdown input’ để thay đổi tất cả các phần tử input trong một phần tử dropdown, thay vì sử dụng ID hoặc lớp cho từng phần tử riêng lẻ. Bộ chọn :visited cho phép các trang web áp dụng kiểu cho các liên kết đến các trang bạn đã truy cập, điều này hữu ích để thay đổi màu tím mặc định hoặc áp dụng các hiệu ứng khác.
Tuy nhiên, việc cho phép các trang web khả năng phát hiện các liên kết đã truy cập lại có một số tác dụng phụ. Một trang độc hại có thể bao gồm hàng trăm hoặc hàng nghìn liên kết, và bằng cách kiểm tra những liên kết nào khớp với bộ chọn :visited, nó có thể tạo ra một bản ghi một phần về lịch sử duyệt web của bạn trên các trang khác nhau. Điều này đặt ra một nguy cơ đáng kể về quyền riêng tư trình duyệt và lịch sử duyệt web an toàn.
Lỗ hổng bảo mật: Liên kết đã truy cập có thể bị theo dõi trên các trang web khác nhau.
Các trình duyệt web hiện đại đã có một số biện pháp giảm thiểu để ngăn chặn hành vi này, chẳng hạn như cung cấp dữ liệu trống khi các trang web yêu cầu danh sách các phần tử :visited, và giới hạn các kiểu có thể áp dụng cho các phần tử :visited. Tuy nhiên, những thay đổi này vẫn chưa ngăn chặn hoàn toàn các lỗ hổng bảo mật. Google cho biết, “khi khả năng tùy chỉnh của các liên kết đã truy cập tăng lên theo thời gian, số lượng các cuộc tấn công được các nhà nghiên cứu bảo mật phát hiện cũng tăng theo.”
Chrome Khắc Phục Lỗ Hổng Bằng Cơ Chế Nào?
Giải pháp của Google là một hệ thống sandboxing (cơ chế bảo vệ bằng cách cách ly các tiến trình) cho các liên kết :visited, giúp cô lập lịch sử liên kết cho từng trang web riêng lẻ, thay vì lưu trữ tất cả chúng trong cùng một danh sách mà bất kỳ trang web nào cũng có thể truy cập tiềm năng. Đây cũng là cách thức hoạt động của bộ nhớ cục bộ (local storage) và nhiều API trình duyệt khác.
Công ty đã chia sẻ trong một bài đăng trên blog rằng: “Khi bạn đang duyệt trên Trang A và nhấp vào một liên kết để chuyển đến Trang B, sự kết hợp của ‘Trang A + Trang B’ sẽ được lưu trữ trong lịch sử :visited của bạn. Bằng cách này, khi bạn truy cập Trang Độc Hại, liên kết của nó đến Trang B sẽ không hiển thị là đã truy cập vì nó không khớp với cả hai phần của mục ‘Trang A + Trang B’ của chúng tôi (ngữ cảnh nơi bạn nhấp vào liên kết ban đầu). Vì không có lịch sử duyệt web nào được hiển thị trên Trang Độc Hại, nó không thể tận dụng bất kỳ lỗ hổng nào. Do đó, lịch sử trình duyệt của bạn được an toàn!”
Giao diện trình duyệt Chrome minh họa hoạt động của tính năng phân vùng liên kết đã truy cập, bảo vệ lịch sử duyệt web cá nhân.
Hệ thống cô lập này dự kiến sẽ chặn hoàn toàn mọi lỗ hổng bảo mật tiềm ẩn xung quanh các liên kết :visited. Google cũng đã thảo luận về việc loại bỏ các biện pháp giảm thiểu trước đây vì chúng không còn cần thiết, nhưng đó là “công việc trong tương lai” có thể sẽ không xảy ra ngay lập tức. Tính năng này mang lại lợi ích đáng kể trong việc tăng cường an toàn thông tin mạng và bảo vệ dữ liệu cá nhân người dùng.
Thời Điểm Triển Khai Tính Năng Phân Vùng Liên Kết Đã Truy Cập Trên Chrome 136 và Các Trình Duyệt Khác
Google cho biết tính năng phân vùng liên kết đã truy cập sẽ có mặt trong Chrome 136, dự kiến sẽ triển khai một phần vào ngày 23 tháng 4 năm 2025 và phát hành đầy đủ vào ngày 29 tháng 4 năm 2025. Các trình duyệt web khác dựa trên cùng mã nguồn Chromium (như Vivaldi, Edge, Opera, v.v.) có thể sẽ nhận được tính năng này khi chúng cập nhật lên Chromium 136 hoặc các phiên bản mới hơn.
Mozilla ủng hộ tính năng phân vùng liên kết đã truy cập, nhưng không rõ khi nào Firefox có thể triển khai tính năng tương tự — nó được đề xuất lần đầu tiên tám năm trước. Nhóm WebKit của Apple cũng hoan nghênh ý tưởng này, nhưng một lần nữa, không có xác nhận khi nào nó có thể xuất hiện trên Safari. Điều này cho thấy tầm quan trọng của tính năng này đối với ngành công nghệ nói chung và là một cập nhật bảo mật Chrome đáng chú ý.
Với việc triển khai “phân vùng liên kết đã truy cập”, Google Chrome đang thiết lập một tiêu chuẩn mới về quyền riêng tư và bảo mật cho người dùng web. Tính năng này không chỉ khắc phục một lỗ hổng tiềm tàng mà còn khẳng định cam kết của Google trong việc bảo vệ dữ liệu cá nhân và lịch sử duyệt web của người dùng. Đây là một bước tiến quan trọng giúp người dùng an tâm hơn khi lướt web và giảm thiểu rủi ro bị theo dõi trái phép. Chia sẻ ý kiến của bạn về cập nhật bảo mật này và khám phá thêm các mẹo bảo mật trình duyệt khác trên website của chúng tôi!
