瀏覽器使用者都應該熟悉在所造訪的網站點選某個連結時,該連結就會變色,以讓使用者知道已點選過,這是透過CSS :visited偽類(pseudo-class)技術來完成,有鑑於其目的是為了改善使用者瀏覽網路的體驗,卻被其它有心人士用來窺探使用者的瀏覽歷史紀錄,於是Google準備在最新的Chrome 136透過將紀錄分割,以修補此一已存在於瀏覽器產業23年的隱私漏洞。
在用來控制網頁外觀的階層樣式表(Cascading Style Sheets,CSS)中,有一個名為:visited的偽類(pseudo-class)選擇器,可用來選取使用者已造訪過的連結元素,並使其變色,以讓使用者區分已造訪及未造訪的連結。
然而,由於系統會在供應該連結的每個網站上都顯示「已造訪」,而允許其它網站也能檢查使用者所造訪過的網站,讓第三方有機會了解使用者的瀏覽習慣及興趣,結合其它資訊建立更完整的用戶檔案,或是根據使用者興趣量身打造網釣訊息,也能投放未經使用者同意的目標式廣告,使得Google決定採用分區金鑰(Partition Key)來終結該功能遭到第三方濫用的情況。
例如使用者正在瀏覽A站,並點選了連結以前往B站,系統即會將B站新增至使用者的:visited紀綠中,之後當使用者造訪其它網站時,若該站也提供了B站的連結,它也會顯示:visited,外洩了使用者的蹤跡。
Google的作法是在Chrome中利用3種金鑰來儲存使用者所造訪過的連結,包括使用者實際點選的連結網址、瀏覽器位址欄位所顯示的頂級網域名稱,以及實際顯示該連結的原始框架,未來只有使用者於相同的環境中(同樣的頂級網域名稱與框架來源)看到相同的網域名稱連結時,才會變色,標記為已造訪。
.png)
在透過金鑰分割造訪紀錄後,當使用者瀏覽A站,並自A站點選了連結以到達B站,系統的造訪紀錄存放的是「A站+B站」,於是,在使用者造訪第三方網站之後,B站連結就不會顯示為:visited。
.png)
不過,該設計有一個名為自我連結(self links)的例外,亦即在同一個網域名稱之下,不受上述限制,例如維基百科(Wikipedia),仍能在不同的頁面上呈現:visited。
目前Google已於4月初釋出的Chrome 136 Beta版中測試該功能,Chrome 136正式版預計於4月29日出爐。
其實Google是在2008年推出Chrome瀏覽器,迄今不過16年,但有關:visited的隱私漏洞早就現身於其它更早發表的瀏覽器中,且一直未被修復,Google軟體工程師Kyra Seevers表示,Chrome將成為第一個消滅此一隱私問題的主要瀏覽器。圖片來源/Google
熱門新聞
2025-05-19
2025-05-19
2025-05-19
2025-05-20
2025-05-20
2025-05-19