【20年漏洞】瀏覽器變色連結洩私隱 Google Chrome的起心肝修補
大家有無想過,自己瀏覽網頁的足跡,原來有可能被網站暗中記錄下來?Google 最近便宣佈,由Chrome 136 版本的瀏覽器開始,將會加強限制瀏覽器自動將用家曾到訪網站的連結,由預設的藍色變成紫色的做法,減低其他網站用這方法標籤用家,導致瀏覽私隱外洩的風險。
想像一下,當大家進入旅遊網站 A,點擊了幾個去巴黎旅遊的相關連結後,如果旅遊網站 B 都有轉載這些連結,那麼在你進入網站 B 時,營運方就可透過分析那些「變色」連結,推斷用家可能對巴黎有興趣,繼而向用家推送相關廣告,甚至調整機票和酒店的價格,吸引用家下訂單。
雖然個人化廣告看似方便,但在不知情的情況下被追蹤和分析,相信會令不少用家感到不安。更可怕的是如果這些資訊被惡意利用,可能會導致更嚴重的隱私洩露,例如黑客可以制定更精準的釣魚攻擊,誘使目標洩露個人私隱訊息或進行詐騙。
採用 「三重金鑰分割」 新技術
這種變色連結的做法,在瀏覽器上已經沿用了逾 20 年,Google Chrome 直至最近的起心肝解決這個隱私漏洞。在即將推出的 Chrome 136 版本中,Google 將採用一項名為「三重金鑰分割」(triple-key partitioning)的新技術,保護用家的瀏覽私隱。這種技術的原理是瀏覽器將每個用家點擊過的連結加上了三把不同的鎖,當用家到訪同一個網站,並且在同一個頁面區域再次看到這些連結時,Chrome 才會用對應的鑰匙解鎖,將用家之前瀏覽過的連結變色,但如去到其他網站,就算有相同連結都不會變色。
不過,連結變色的做法某程度上都為用家帶來方便,所以為了兼顧使用體驗,Google 也做了一些特別的設定,例如用家在 A 網站點擊了指向網站的連結後,當用家再次訪問 B 網站,即使不是通過 A 網站跳轉,這個連結依然會顯示為紫色,官方指這是因為 B 網站本身就知道用家曾到訪,所以不會洩露額外的私隱。
事實上,這項新功能已在 Chrome 132 版本提供測試,如果用家想體驗,可以在瀏覽器網址列輸入 chrome://flags/#partition-visited-link-database-with-self-links,然後將選項設定為「啟用」即可。
