Trong gần hai thập kỷ, các trình duyệt web đã phải đối mặt với một lỗ hổng quyền riêng tư nghiêm trọng có thể làm rò rỉ lịch sử duyệt web của người dùng. Tin vui là Google đang dẫn đầu nỗ lực nhằm chấm dứt hoàn toàn vấn đề này, với việc Chrome bảo mật lịch sử duyệt web bằng một tính năng tiên tiến. Lỗi này, liên quan đến cách các trình duyệt xử lý các liên kết đã truy cập, từ lâu đã là mối lo ngại đối với quyền riêng tư trực tuyến.
Cơ Chế Khắc Phục Lỗ Hổng Rò Rỉ Đa Trang Web Trên Chrome
Mỗi khi bạn truy cập một trang web trong Chrome (hoặc trình duyệt dựa trên Chromium), trình duyệt sẽ đánh dấu các liên kết đã truy cập bằng một cờ “:visited”, khiến chúng xuất hiện màu tím trên kết quả tìm kiếm. Đây là một chỉ báo trực quan hữu ích, giúp bạn nhận biết mình đã ghé thăm trang đó trước đây. Tuy nhiên, việc thay đổi màu sắc này được trình duyệt hiển thị bất kể bạn đang ở trang web nào khi nhấp vào liên kết. Điều này đã tạo cơ hội cho các trang web độc hại sử dụng JavaScript để đánh cắp lịch sử duyệt web của bạn, ngay cả khi bạn đã cố gắng tăng cường quyền riêng tư cho trình duyệt.
Vấn đề này đã tồn tại trước cả Chrome và gây ra các vụ rò rỉ thông tin trong hơn 20 năm, buộc các trình duyệt phải liên tục đưa ra nhiều bản vá để giảm thiểu rủi ro. Kyra Seevers từ Google đã giải thích chi tiết hơn trong một bài đăng blog, công bố bản cập nhật mới. Ví dụ, Firefox giới hạn các kiểu CSS có thể áp dụng cho các trang được đánh dấu “:visited” và chặn JavaScript đọc chúng. Safari sử dụng các tính năng như Intelligent Tracking Prevention để giảm thiểu rủi ro, nhưng cả hai giải pháp này đều không thể chặn đứng tất cả các cuộc tấn công.
Bắt đầu từ phiên bản tiếp theo, Chrome 136, Google tuyên bố đây sẽ là “trình duyệt lớn đầu tiên khiến các cuộc tấn công này trở nên lỗi thời”. Điều này đạt được thông qua việc phân chia lịch sử liên kết “:visited” thành ba phần riêng biệt. Thay vì lưu trữ các lượt truy cập liên kết một cách toàn cầu, Chrome sẽ chia mỗi liên kết đã truy cập bằng cách sử dụng ba khóa sau:
- URL Liên kết: Địa chỉ cụ thể của liên kết.
- Trang Web Cấp Cao Nhất: Trang web mà bạn đang duyệt khi nhấp vào liên kết.
- Nguồn Khung: Nguồn gốc của khung (iframe) chứa liên kết (nếu có).
Ví dụ minh họa cách Chrome phân vùng liên kết đã truy cập để tăng cường bảo mật lịch sử duyệt web
Việc phân chia này đảm bảo rằng một liên kết sẽ chỉ xuất hiện dưới dạng đã truy cập trên cùng một trang web và trong cùng một nguồn khung (nghĩa là trang mà bạn đã nhấp vào liên kết) nơi bạn đã nhấp vào nó trước đó. Có một ngoại lệ “liên kết tự thân” (“self-links”), nghĩa là các liên kết đã truy cập của một trang web sẽ vẫn được đánh dấu phù hợp, ngay cả khi bạn nhấp vào chúng từ một trang web khác. Nói cách khác, một liên kết sẽ chỉ hiển thị là “:visited” nếu bạn đang ở trên một trang web mà bạn đã nhấp vào liên kết đó trước đây. Điều này ngăn chặn các trang web độc hại theo dõi lịch sử duyệt web của bạn bằng cách lập bản đồ tất cả các trang được trình duyệt đánh dấu là đã truy cập.
Kích Hoạt Tính Năng Bảo Vệ Lịch Sử Duyệt Web Ngay Lập Tức
Mặc dù Chrome phiên bản 136 chưa chính thức ra mắt công chúng tại thời điểm hiện tại, nhưng tính năng này đã có mặt trong Chrome dưới dạng cờ thử nghiệm (experimental flag) kể từ phiên bản 132. Để kích hoạt nó ngay lập tức và trải nghiệm sự cải thiện về bảo mật lịch sử duyệt web, bạn có thể làm theo các bước sau:
- Sao chép và dán địa chỉ sau vào thanh URL của Chrome: chrome://flags/#partition-visited-link-database-with-self-links
- Đặt cờ này thành Enabled (Đã Bật).
Tính năng này chưa ổn định hoàn toàn, vì vậy nó có thể không hoạt động như mong đợi trên tất cả các trang web và thậm chí có thể làm hỏng một số trang cố gắng truy cập lịch sử duyệt web của bạn. Bắt đầu từ phiên bản 136, tính năng này sẽ được bật mặc định. Tuy nhiên, chức năng cũ sẽ không bị loại bỏ hoàn toàn—Google cho rằng việc loại bỏ nó sẽ xóa bỏ các chỉ dẫn giao diện người dùng có giá trị. Nếu bạn đang sử dụng trình duyệt hỗ trợ Chromium khác, bạn có thể sẽ phải đợi tính năng này được tích hợp. Trong thời gian chờ đợi, bạn có thể sao chép và dán URL trên để kiểm tra xem trình duyệt của mình có hỗ trợ tính năng này hay không.
Việc Chrome chủ động giải quyết lỗ hổng bảo mật lịch sử duyệt web đã tồn tại hàng thập kỷ cho thấy cam kết của Google trong việc bảo vệ quyền riêng tư người dùng. Tính năng phân vùng liên kết :visited sẽ là một bước tiến quan trọng, giúp người dùng an tâm hơn khi duyệt web. Thủ Thuật Mới sẽ tiếp tục cập nhật những thông tin mới nhất về các tính năng bảo mật trình duyệt. Hãy luôn cập nhật trình duyệt của bạn để tận hưởng những cải tiến bảo mật và đừng ngần ngại chia sẻ ý kiến của bạn về tính năng mới này trong phần bình luận bên dưới!
