Ziyaret edilen bağlantıları farklı şekilde şekillendirerek kullanıcı rahatlığını artırmak için tasarlanmış Web Gözleme Geçmişi özelliği, yanlışlıkla bir gizlilik güvenlik açığı yarattı.
Bilgisayar korsanları, kullanıcıların çevrimiçi alışkanlıklarını çıkarmak için JavaScript ve CSS tekniklerini kullanarak bu özelliği kullandı ve dijital gizlilikte ilgili bir boşluk ortaya çıkardı.
Tarayıcılar şunları kullanır: ziyaret edilen CSS sahte sınıfı, ziyaret edilen bağlantıları görülmemiş olanlardan farklı şekilde stil için kullanırlar ve kullanıcıların ziyaret ettikleri siteleri görsel olarak ayırt etmelerini sağlar. Bununla birlikte, saldırganlar bu görsel stili bir yan kanal saldırısı vektörüne dönüştürdüler.
Bağlantı stillerindeki varyasyonları analiz ederek – renk veya oluşturma süresi gibi – çok sayıda web siteleri, bir kullanıcının daha önce hangi bağlantıları ziyaret ettiğini belirleyebilir.
Bu gizlilik ihlali, mevcut oturumların ötesine uzanır ve tamamen farklı alanlar için göz atma verileri sızdırır.
Yan kanal saldırılarının evrimi
Zamanla, saldırganlar bu güvenlik açığından yararlanmak için giderek daha karmaşık yöntemler geliştirdiler. Bunlar arasında:
- DOM denetimi: Bir bağlantının ziyaret edilip edilmediğini kontrol etmek için ankraj elemanlarının CSS özelliklerini doğrudan analiz edin.
- Zamanlama saldırıları: Ziyaret edilen bağlantıları ayırt etmek için oluşturma sürelerini ölçme.
- Piksel Renk Saldırıları: Hafifletmeler yerinde olsa bile ince renk değişimleri tespit etmek.
- Oluşturucu istismarları: Ziyaret edilen bağlantılar hakkında dahili verileri çıkarmak için Spectrejs gibi gelişmiş teknikler.
Bu tür yöntemler, bilgisayar korsanlarının hassas tarama davranışları çıkarmasına, kullanıcıların sağlık endişeleri, finansları veya politik görüşleri hakkında ayrıntıları ortaya koymasına izin verir.
Bu, hedeflenen reklam, gelişmiş tarayıcı parmak izi ve hatta hassas kimlik avı denemelerine kapılar açar.
Araştırmalar, tarayıcı geçmişinin dijital parmak izi olarak hareket etme endişe verici potansiyelini vurgulamaktadır. Çalışmalar, kullanıcıların% 97’sinin benzersiz tarama modellerine sahip olduğunu ve tarihleri biyometrik veriler kadar istikrarlı ve tanımlanabilir hale getirdiğini göstermiştir.
Daha büyük büyük ölçekli telemetri çalışmaları, bu rakamı%99 olarak doğruladı ve dekononimleştirme ve profil oluşturma riskinin altını çizdi.
Bu bulgular, tarama geçmişini kişisel veriler olarak gören GDPR de dahil olmak üzere gizlilik düzenleyicilerinden dikkat çekti.
Legacy düzeltmeleri yetersiz kalır
2010 yılında tanıtılan azaltmalara rağmen – ziyaret edilen stil sorguları hakkında “yalan söylemek” ve CSS özelliklerini sınırlamak için: Ziyaret edilen bağlantılar – sorun çözülmemiş kaldı. Bu savunmalar karmaşıktı ve genellikle ileri teknikleri engellemek için yetersizdi.
Şimdi, tarayıcı manzarası dönüştürücü bir değişim için hazırlanıyor. Yeni önerilen bir yaklaşım olan bölüm, ziyaret edilen bağlantı geçmişi, bu kırılganlığı kesin olarak düzeltmeyi vaat ediyor.
Küresel ziyaret edilen bağlantılar listesini korumak yerine, tarayıcılar bu kayıtları üçlü anahtarlı bir bölümde saklayacaktır:
- Bağlantı URL’si: Bağlantı hedefi.
- Üst düzey site: Etkin tarama bağlamının alanı.
- Çerçeve kökenli: Bağlantıyı oluşturan çerçevenin kökeni.
Bu model altında, ziyaret edilen bir bağlantı yalnızca aynı üst düzey siteden ve çerçeve kökeninden erişildiğinde şekillendirilecektir.
Örneğin, bir kullanıcının https://example.com adresinden https://w3.org ziyareti, https://malicious-site.com’a göz atarken ziyaret edilen gibi görünmez. Bu, gizlilik izolasyonunu sağlar ve Web’in aynı orijin politikasına bağlı kalır.
Yeni bölümlenmiş model sadece saha arası geçmiş sızıntılarına karşı korunmakla kalmaz, aynı zamanda modern veri koruma düzenlemelerine de hizalanır ve diğer tarayıcıların takip etmesi için bir emsal oluşturur.
Gizlilik mühendisleri ve kullanıcıları, kullanılabilirlikten ödün vermeden güvenliğe öncelik veren bir web’i dört gözle bekleyebilirler.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!