Chrome si aggiorna: Google sistema una vulnerabilità vecchia 20 anni

Google ha annunciato un importante aggiornamento per il suo browser Chrome, che mira a colmare una falla di sicurezza presente da quasi due decenni. Previsto per la versione 136 di Chrome, l'aggiornamento affronta un problema legato alla possibilità per i siti web di determinare la cronologia di navigazione degli utenti attraverso l'uso degli stili CSS per i link visitati.

Il problema in questione deriva dalla capacità dei siti web di definire uno stile diverso per i link già visitati dall'utente. Tradizionalmente, i browser mostrano i link non visitati in blu e quelli già cliccati in un colore differente. Questa funzionalità, apparentemente innocua, ha permesso nel corso degli anni a siti web malevoli di creare script in grado di dedurre la cronologia di navigazione degli utenti, violando così la loro privacy.

Chrome 136 correggerà una falla ventennale: come abilitarla subito

Le conseguenze di questa vulnerabilità vanno ben oltre la semplice violazione della privacy. Come si legge sul portale Chrome for developers, il problema apre la strada a diverse tipologie di attacchi, tra cui il tracciamento degli utenti, la profilazione e persino il phishing. Questa falla poteva essere sfruttata attraverso varie tecniche, come attacchi basati sul timing, sui pixel, sull'interazione dell'utente e persino a livello di processo.

La soluzione proposta da Google con Chrome 136 è tanto semplice quanto efficace: il browser implementerà un sistema di partizionamento a tripla chiave per i link visitati. In pratica, invece di memorizzare globalmente le visite ai link, Chrome ora terrà conto di tre fattori: l'URL del link (la destinazione), il sito di primo livello (il dominio visualizzato nella barra degli indirizzi) e l'origine del frame (l'origine del frame in cui il link viene renderizzato). Questo approccio garantisce che un link appaia come "visitato" solo sullo stesso sito e nella stessa origine del frame in cui l'utente lo ha effettivamente cliccato in precedenza. In questo modo, si elimina la possibilità di perdite di informazioni sulla cronologia tra siti diversi, preservando al contempo l'usabilità del web.

Per mantenere una buona esperienza utente, gli ingegneri di Google hanno introdotto un'eccezione denominata "self-link", che permette ai link visitati di un sito di apparire come tali anche se l'utente vi ha fatto accesso da un sito diverso. L'azienda di Mountain View giustifica questa scelta affermando che un sito web è già a conoscenza delle pagine visitate dall'utente al suo interno, quindi questa eccezione non introduce ulteriori rischi per la privacy.

È interessante notare come Google abbia valutato e scartato altre possibili soluzioni: ad esempio, l'idea di deprecare completamente il selettore CSS :visited è stata esclusa poiché avrebbe eliminato preziosi segnali per l'esperienza utente. Analogamente, un modello basato sulle autorizzazioni è stato considerato troppo facilmente aggirabile o addirittura soggetto ad abusi da parte di siti web manipolativi.

Gli utenti più attenti alla privacy possono già sperimentare questa nuova funzionalità a partire da Chrome 132: per attivarla, è sufficiente digitare "chrome://flags/#partition-visited-link-database-with-self-links" nella barra degli indirizzi e impostare l'opzione su "abilitato". Tuttavia, è importante sottolineare che la funzione è ancora in fase sperimentale e potrebbe non funzionare in modo ottimale in tutte le situazioni.