Google Chrome logo
Agence web » Actualités du digital » Les liens violets peuvent être une vulnérabilité de sécurité, et Chrome le répare

Les liens violets peuvent être une vulnérabilité de sécurité, et Chrome le répare

ParTremplin Numérique Publié le

Google ajoute le partitionnement des liens visités à Chrome, ce qui en fait le premier navigateur Web à être entièrement protégé des vulnérabilités de sécurité autour des liens visités. Le changement devrait également se déplacer vers d'autres navigateurs à base de chrome, tels que Vivaldi et Microsoft Edge.

Vous avez probablement vu des liens dans les pages Web passer à une couleur violette ou à un autre indicateur visuel, après avoir visité la page liée. Comme de nombreuses autres fonctionnalités implémentées par les navigateurs Web au fil des ans (API RIP Battery Status), il s'est accidentellement transformé en un excellent moyen de suivre les gens sur le Web lorsqu'ils visitent différentes pages Web.

Comment fonctionne la vulnérabilité de sécurité

Les navigateurs Web permettent aux sites de personnaliser l'apparence du texte et d'autres éléments à l'aide de sélecteurs CSS. Par exemple, un site Web peut ajouter des styles à «. DROPDOWN ENTRÉ» pour modifier tous les éléments d'entrée dans un élément déroulant, au lieu d'utiliser des ID ou des classes pour chaque élément individuel. Le sélecteur «: Visité» permet aux pages Web d'appliquer des styles aux liens vers des pages que vous avez visitées, ce qui est utile pour modifier la couleur violette par défaut ou appliquer d'autres effets.

Donner des pages Web la possibilité de détecter les liens visités a des effets secondaires, cependant. Une page malveillante pourrait inclure des centaines ou des milliers de liens, et en vérifiant celles qui correspondent au sélecteur visible, il pourrait créer un enregistrement partiel de votre historique de navigation sur différents sites.

Les navigateurs Web modernes ont déjà plusieurs atténuations pour empêcher ce comportement, comme la fourniture de données vides lorsque les pages Web demandent une liste de: éléments visibles et limitant les styles qui peuvent être appliqués aux éléments visibles. Ces modifications n'ont cependant pas entièrement arrêté les vulnérabilités de sécurité. Google a déclaré: « Comme la personnalisation des liens visités a augmenté au fil du temps, le nombre croissant d'attaques a également été découvert par les chercheurs en sécurité. »

Comment Chrome l'a corrigé

La solution de Google est un système de sable pour: les liens visités, qui isole l'historique des liens pour chaque site Web individuel, au lieu de les stocker tous dans la même liste que tout site peut potentiellement accéder. C'est déjà ainsi que fonctionnent le stockage local et de nombreuses autres API de navigateur.

La société a déclaré dans un article de blog: « Vous naviguez sur le site A et cliquez sur un lien pour accéder au site B, la combinaison du » site A + Site B « est stockée dans votre: Historique visité. De cette façon, lorsque vous visitez le site Evil, son lien vers le site B ne sera pas affiché comme: Visité parce qu'il ne correspond pas aux deux parties de notre » site A + Site B « Entrée (le contexte où vous avez cliqué sur le lien). Depuis qu'il n'y a pas de l'historique de navigation Affiché sur le site, il a été cliqué sur le lien). Tous les exploits.

Ce système d'isolement doit bloquer entièrement toutes les vulnérabilités de sécurité potentielles autour: les liens visités. Google a également discuté de la suppression des atténuations précédentes, car ils ne sont plus nécessaires, mais c'est un «travail futur» qui pourrait ne pas se produire pendant un certain temps.

Venant dans Chrome 136

Google dit que le partitionnement de liens visité sera disponible dans Chrome 136, qui devrait obtenir un déploiement partiel le 23 avril 2025, et une version complète le 29 avril 2025. Vraisemblablement, d'autres navigateurs Web basés sur le même code source de chrome (tel que VivalDi, Edge, Opera, etc.) recevront la fonctionnalité lorsqu'ils mettaient à jour vers Chromium 136 ou Newer.

Mozilla soutient le partitionnement des liens visités, mais il n'est pas clair lorsque Firefox pourrait implémenter la même fonctionnalité – il a été proposé pour la première fois il y a huit ans. L'équipe Webkit d'Apple aime également l'idée, mais encore une fois, il n'y a aucune confirmation de son apparition dans Safari.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.