`:visited`'ı daha kişiselleştirmek - zaten ziyaret edilmiş bağlantıların gizliliğini güçlendirmek
(developer.chrome.com)- Uzun süredir var olan bir web güvenliği sorunu olan
:visitedbağlantı stillendirmesi üzerinden "kullanıcı ziyaret geçmişinin açığa çıkması" problemini çözmek için yeni bir özellik sunuldu - Chrome 136'dan itibaren
:visitedgeçmişi "bölümlü depolama (partitioning)" ile tutulacak ve bu saldırıları kökten engelleyebilecek bir yapıya geçilecek - Ziyaret edilmiş bağlantıları görsel olarak ayırt etme işlevi korunurken, bunun başka siteler tarafından kötüye kullanılması engellenecek şekilde tasarlandı
:visited bağlantılar için bölümlü depolama yönteminin açıklaması
- Önceki yöntemde bir bağlantıya tıklandığında, o bağlantı hangi sitede olursa olsun
:visiteddurumunda görünüyordu - Bu, kötü niyetli sitelerin kullanıcının ziyaret geçmişini takip etmesine olanak tanıyan tasarımsal bir güvenlik açığıydı
- Örnek: Site-A'da Site-B bağlantısına tıklandıktan sonra, Site-Evil'da da aynı bağlantı varsa, Site-B
:visitedolarak gösterilip kullanıcının ziyaret edip etmediği anlaşılabiliyordu - Yeni yapıda ziyaret geçmişi yalnızca "site A + bağlantı hedefi B" kombinasyonu için saklanıyor
- Yani Site-Evil'da kullanıcı o bağlantıya tıklamadığı için
:visitedolarak gösterilmiyor - Sonuç olarak ziyaret geçmişi artık genel (global) olarak saklanmıyor; bunun yerine "bağlantı URL'si + üst düzey site + frame kaynağı" temelinde ayrı ayrı tutuluyor
Aynı site içindeki bağlantıların ele alınma biçimi
- Diyelim ki bir kullanıcı metal türlerini araştırırken
metals.comüzerindesite.wikiiçindeki chrome ve brass sayfalarına tıkladı - Daha sonra
site.wikiüzerindeki gold sayfasını ziyaret ettiğinde, chrome ve brass bağlantıları:visitedolarak görünmüyor (çünkü tıklama bağlamı farklıydı) - Bunu iyileştirmek için
self-linksistisnası eklendi - Aynı site içindeki alt sayfa bağlantıları, aynı bağlam içinde tıklanmamış olsalar bile
:visitedolarak gösteriliyor - Bunun nedeni, sitenin zaten kendi başına kullanıcının ziyaret geçmişini takip edebilmesi ve dolayısıyla ek bir bilgi sızıntısı yaratmaması olarak değerlendirildi
- Ancak bu istisna, üçüncü taraf sitelere veya iframe içindeki üçüncü taraf bağlantılara uygulanmıyor
Özelliğin kullanıma alınma durumu
- Bu özellik Chrome 136 ile birlikte resmi olarak kullanıma sunuldu
- Chrome, bu özelliği ilk sunan büyük tarayıcı oldu
- Geliştiriciler ve güvenlik araştırmacıları GitHub sayfasında öneriyi inceleyebilir, görüş bildirebilir ve hata raporu gönderebilir
- Özellik önerisi GitHub
- Issue önerme ve tartışmaya katılma
- Chromium hata takip sistemi
1 yorum
GeekNews'te de
:visitedkullanmayı denemek istemiştik ama güvenlik nedeniyle neredeyse hiçbir şey yapılamadığı için vazgeçmiştik.Bunların hepsi uygulanırsa çeşitli stillendirmeler mümkün hale gelebilir gibi görünüyor.