`:visited`'ı daha kişiselleştirmek - zaten ziyaret edilmiş bağlantıların gizliliğini güçlendirmek

xguru · 2025-04-11T09:31:02+09:00

Uzun süredir var olan bir web güvenliği sorunu olan :visited bağlantı stillendirmesi üzerinden "kullanıcı ziyaret geçmişinin açığa çıkması" problemini çözmek için yeni bir özellik sunuldu Chrome 136'dan itibaren :visited geçmişi "bölümlü depolama (partitioning)" ile tutulacak ve bu saldırıları kökten engelleyebilecek bir yapıya geçilecek Ziyaret edilmiş bağlantıları görsel olarak ayırt etme işlevi korunurken, bunun başka siteler tarafından kötüye kullanılması engellenecek şekilde tasarlandı :visited bağlantılar için bölümlü depolama yönteminin açıklaması Önceki yöntemde bir bağlantıya tıklandığında, o bağlantı hangi sitede olursa olsun :visited durumunda görünüyordu Bu, kötü niyetli sitelerin kullanıcının ziyaret geçmişini takip etmesine olanak tanıyan tasarımsal bir güvenlik açığıydı Örnek: Site-A'da Site-B bağlantısına tıklandıktan sonra, Site-Evil'da da aynı bağlantı varsa, Site-B :visited olarak gösterilip kullanıcının ziyaret edip etmediği anlaşılabiliyordu Yeni yapıda ziyaret geçmişi yalnızca "site A + bağlantı hedefi B" kombinasyonu için saklanıyor Yani Site-Evil'da kullanıcı o bağlantıya tıklamadığı için :visited olarak gösterilmiyor Sonuç olarak ziyaret geçmişi artık genel (global) olarak saklanmıyor; bunun yerine "bağlantı URL'si + üst düzey site + frame kaynağı" temelinde ayrı ayrı tutuluyor Aynı site içindeki bağlantıların ele alınma biçimi Diyelim ki bir kullanıcı metal türlerini araştırırken metals.com üzerinde site.wiki içindeki chrome ve brass sayfalarına tıkladı Daha sonra site.wiki üzerindeki gold sayfasını ziyaret ettiğinde, chrome ve brass bağlantıları :visited olarak görünmüyor (çünkü tıklama bağlamı farklıydı) Bunu iyileştirmek için self-links istisnası eklendi Aynı site içindeki alt sayfa bağlantıları, aynı bağlam içinde tıklanmamış olsalar bile :visited olarak gösteriliyor Bunun nedeni, sitenin zaten kendi başına kullanıcının ziyaret geçmişini takip edebilmesi ve dolayısıyla ek bir bilgi sızıntısı yaratmaması olarak değerlendirildi Ancak bu istisna, üçüncü taraf sitelere veya iframe içindeki üçüncü taraf bağlantılara uygulanmıyor Özelliğin kullanıma alınma durumu Bu özellik Chrome 136 ile birlikte resmi olarak kullanıma sunuldu Chrome, bu özelliği ilk sunan büyük tarayıcı oldu Geliştiriciler ve güvenlik araştırmacıları GitHub sayfasında öneriyi inceleyebilir, görüş bildirebilir ve hata raporu gönderebilir Özellik önerisi GitHub Issue önerme ve tartışmaya katılma Chromium hata takip sistemi

(developer.chrome.com)

4 puan yazan xguru 2025-04-11 | 1 yorum | WhatsApp'ta paylaş

Uzun süredir var olan bir web güvenliği sorunu olan :visited bağlantı stillendirmesi üzerinden "kullanıcı ziyaret geçmişinin açığa çıkması" problemini çözmek için yeni bir özellik sunuldu
Chrome 136'dan itibaren :visited geçmişi "bölümlü depolama (partitioning)" ile tutulacak ve bu saldırıları kökten engelleyebilecek bir yapıya geçilecek
Ziyaret edilmiş bağlantıları görsel olarak ayırt etme işlevi korunurken, bunun başka siteler tarafından kötüye kullanılması engellenecek şekilde tasarlandı

`:visited` bağlantılar için bölümlü depolama yönteminin açıklaması

Önceki yöntemde bir bağlantıya tıklandığında, o bağlantı hangi sitede olursa olsun :visited durumunda görünüyordu
Bu, kötü niyetli sitelerin kullanıcının ziyaret geçmişini takip etmesine olanak tanıyan tasarımsal bir güvenlik açığıydı
Örnek: Site-A'da Site-B bağlantısına tıklandıktan sonra, Site-Evil'da da aynı bağlantı varsa, Site-B :visited olarak gösterilip kullanıcının ziyaret edip etmediği anlaşılabiliyordu
Yeni yapıda ziyaret geçmişi yalnızca "site A + bağlantı hedefi B" kombinasyonu için saklanıyor
Yani Site-Evil'da kullanıcı o bağlantıya tıklamadığı için :visited olarak gösterilmiyor
Sonuç olarak ziyaret geçmişi artık genel (global) olarak saklanmıyor; bunun yerine "bağlantı URL'si + üst düzey site + frame kaynağı" temelinde ayrı ayrı tutuluyor

Aynı site içindeki bağlantıların ele alınma biçimi

Diyelim ki bir kullanıcı metal türlerini araştırırken metals.com üzerinde site.wiki içindeki chrome ve brass sayfalarına tıkladı
Daha sonra site.wiki üzerindeki gold sayfasını ziyaret ettiğinde, chrome ve brass bağlantıları :visited olarak görünmüyor (çünkü tıklama bağlamı farklıydı)
Bunu iyileştirmek için self-links istisnası eklendi
Aynı site içindeki alt sayfa bağlantıları, aynı bağlam içinde tıklanmamış olsalar bile :visited olarak gösteriliyor
Bunun nedeni, sitenin zaten kendi başına kullanıcının ziyaret geçmişini takip edebilmesi ve dolayısıyla ek bir bilgi sızıntısı yaratmaması olarak değerlendirildi
Ancak bu istisna, üçüncü taraf sitelere veya iframe içindeki üçüncü taraf bağlantılara uygulanmıyor

Özelliğin kullanıma alınma durumu

Bu özellik Chrome 136 ile birlikte resmi olarak kullanıma sunuldu
Chrome, bu özelliği ilk sunan büyük tarayıcı oldu
Geliştiriciler ve güvenlik araştırmacıları GitHub sayfasında öneriyi inceleyebilir, görüş bildirebilir ve hata raporu gönderebilir
Özellik önerisi GitHub
Issue önerme ve tartışmaya katılma
Chromium hata takip sistemi

1 yorum

xguru 2025-04-11

GeekNews'te de :visited kullanmayı denemek istemiştik ama güvenlik nedeniyle neredeyse hiçbir şey yapılamadığı için vazgeçmiştik.
Bunların hepsi uygulanırsa çeşitli stillendirmeler mümkün hale gelebilir gibi görünüyor.

`:visited`'ı daha kişiselleştirmek - zaten ziyaret edilmiş bağlantıların gizliliğini güçlendirmek

:visited bağlantılar için bölümlü depolama yönteminin açıklaması

Aynı site içindeki bağlantıların ele alınma biçimi

Özelliğin kullanıma alınma durumu

İlgili okumalar

1 yorum

`:visited` bağlantılar için bölümlü depolama yönteminin açıklaması