Một trong những lỗ hổng bảo mật tồn tại lâu đời trên trình duyệt – rò rỉ lịch sử truy cập qua các liên kết đã nhấp – sắp được khắc phục triệt để trên Chrome 136. Google cho biết bản cập nhật mới này sẽ giới thiệu mô hình phân vùng lịch sử link đã ghé (visited link history partitioning) nhằm bảo vệ quyền riêng tư người dùng trước các kỹ thuật khai thác tinh vi.
Vấn đề tồn tại từ thời kỳ đầu của web
Trình duyệt từ lâu cho phép website xác định link nào đã được người dùng truy cập thông qua selector CSS “:visited”– thường hiển thị link đã nhấp bằng màu tím thay vì xanh dương mặc định. Tuy ban đầu là một tính năng hữu ích về mặt UX, selector này đã bị lạm dụng để đánh cắp lịch sử truy cập, đặc biệt khi kết hợp với CSS nâng cao và các kỹ thuật side-channel.
Các hacker có thể sử dụng đoạn mã ẩn để dò ra các đường link mà người dùng từng truy cập, từ đó lập hồ sơ người dùng, theo dõi hành vi và khởi chạy chiến dịch phishing nhắm mục tiêu. Lỗ hổng này tồn tại qua nhiều thế hệ trình duyệt, nhưng chưa có giải pháp triệt để vì sợ ảnh hưởng đến trải nghiệm người dùng.
Chrome 136: phân vùng lịch sử – khóa lỗ hổng từ gốc
Google xác nhận rằng Chrome 136 sẽ là trình duyệt đầu tiên cô lập lịch sử liên kết đã ghé theo từng website và khung hiển thị (frame). Tức là, một link chỉ hiển thị trạng thái “đã ghé” (màu tím) trong đúng trang mà bạn đã nhấn vào nó – không thể bị website khác phát hiện.
Cụ thể hơn:
- Không có chia sẻ trạng thái link đã ghé giữa các website khác nhau.
- Selector :visited vẫn hoạt động nhưng giới hạn hiển thị trong phạm vi nội bộ.
- Các liên kết nội trang (self-referencing links) vẫn được giữ lại để đảm bảo khả năng điều hướng và trải nghiệm người dùng.
Trước đó, Chrome 132 đã thử nghiệm mô hình này ở chế độ ẩn. Với Chrome 136, Google sẽ kích hoạt mặc định cho tất cả người dùng. Đây là bước đi tiên phong, vì các trình duyệt khác mới chỉ dừng lại ở việc chặn truy cập các thuộc tính như color hay size từ link đã ghé, chứ chưa áp dụng phân vùng lịch sử triệt để.
Một bước tiến lớn cho quyền riêng tư trình duyệt
Nếu mô hình mới của Chrome không ảnh hưởng tiêu cực đến hiệu năng hay trải nghiệm thị giác, nhiều khả năng các trình duyệt như Firefox hay Safari sẽ sớm học theo. Đây được xem là giải pháp thiết kế lại từ gốc (privacy by design), thay vì chắp vá các biện pháp hạn chế phía sau.
Với Chrome 136, Google đang tiến một bước dài trong việc tăng cường bảo mật và quyền riêng tư người dùng. Việc cô lập lịch sử link đã ghé không chỉ chấm dứt kỹ thuật khai thác cổ điển, mà còn mở ra hướng tiếp cận mới cho trình duyệt hiện đại: an toàn ngay từ thiết kế, không đánh đổi trải nghiệm.