Fixing web browser history leaks
a year ago
- #security
- #web-browsing
- #privacy
- 网页浏览历史记录允许对已访问链接进行差异化样式设计,虽有助于导航但存在隐私风险。
- CSS :visited伪类实现样式差异,但可能通过边信道攻击检测已访问链接。
- 出现了多种复杂边信道技术,包括DOM检测、时序攻击和像素颜色攻击。
- 浏览习惯可能泄露敏感信息,导致精准画像、跨站追踪和增强型指纹识别。
- 研究表明浏览历史具有唯一性和稳定性,最高97-99%可唯一识别个人身份。
- 2010年的缓解措施(谎报未访问样式和限制CSS)复杂且效果有限。
- 新方案提出采用三重密钥分区(链接URL、顶级站点、框架来源)划分访问历史。
- 该方法确保隔离性,符合隐私原则,有效防止跨站历史泄露。
- 该方案已在Chrome v132中通过实验性标志实现,计划2025年前彻底解决隐私问题。