`:visited` को और अधिक व्यक्तिगत बनाना - पहले से विज़िट किए गए लिंक की प्राइवेसी को मजबूत करना
(developer.chrome.com)- पुराने वेब सुरक्षा मुद्दे
:visitedलिंक styling के ज़रिए "यूज़र की विज़िट हिस्ट्री उजागर होने" की समस्या को हल करने के लिए एक नई सुविधा पेश की गई - Chrome 136 से
:visitedहिस्ट्री को "partitioning" के साथ स्टोर किया जाएगा, जिससे इस तरह के हमलों को मूल रूप से रोकने वाली संरचना मिलती है - विज़िट किए गए लिंक को विज़ुअली अलग दिखाने की सुविधा बनी रहती है, लेकिन इसे दूसरे साइट्स द्वारा दुरुपयोग न किया जा सके, ऐसा डिज़ाइन किया गया है
:visited लिंक partitioned storage का तरीका
- पहले, किसी लिंक पर क्लिक करने के बाद वह लिंक किसी भी साइट पर
:visitedस्टेटस में दिख सकता था - यह एक डिज़ाइन-स्तरीय सुरक्षा खामी थी, जिससे दुर्भावनापूर्ण साइट्स यूज़र की विज़िट हिस्ट्री ट्रैक कर सकती थीं
- उदाहरण: Site-A में Site-B का लिंक क्लिक करने के बाद, अगर Site-Evil पर भी वही लिंक मौजूद हो, तो Site-B
:visitedके रूप में दिखता था और इससे यूज़र ने उसे विज़िट किया है या नहीं, यह पता चल जाता था - नई संरचना में विज़िट हिस्ट्री केवल "site A + link target B" के संयोजन के रूप में स्टोर की जाती है
- यानी, Site-Evil पर वह
:visitedनहीं दिखेगा, क्योंकि यूज़र ने उस संदर्भ में उस लिंक पर क्लिक नहीं किया था - नतीजतन, विज़िट हिस्ट्री अब global रूप में स्टोर नहीं होती, बल्कि "link URL + top-level site + frame origin" के आधार पर अलग-अलग रखी जाती है
एक ही साइट के भीतर लिंक प्रोसेसिंग का तरीका
- मान लें कोई यूज़र metals.com पर धातुओं के प्रकार देख रहा था और उसने
site.wikiके chrome और brass पेज क्लिक किए - इसके बाद जब वह
site.wikiके gold पेज पर गया, तो chrome और brass लिंक:visitedके रूप में नहीं दिखेंगे, क्योंकि क्लिक का संदर्भ अलग था - इसे बेहतर बनाने के लिए
self-linksexception जोड़ा गया - एक ही साइट के अंदर subpage links, भले ही उसी context में क्लिक न किए गए हों, फिर भी
:visitedके रूप में दिखेंगे - यह इसलिए स्वीकार किया गया है क्योंकि साइट अपने स्तर पर पहले से ही यूज़र की विज़िट हिस्ट्री ट्रैक कर सकती है, इसलिए अतिरिक्त जानकारी के खुलासे का जोखिम नहीं माना गया
- हालांकि, third-party साइट्स या iframe के अंदर मौजूद third-party links पर यह exception लागू नहीं होता
फीचर की शुरुआत की स्थिति
- यह फीचर Chrome 136 से आधिकारिक रूप से पेश किया गया है
- Chrome इस फीचर को पेश करने वाला पहला प्रमुख ब्राउज़र है
- डेवलपर्स और security researchers GitHub पेज पर proposal देख सकते हैं, राय दे सकते हैं, और bugs रिपोर्ट कर सकते हैं
- फीचर proposal GitHub
- इश्यू प्रस्तावित करें और चर्चा में शामिल हों
- Chromium bug tracker
1 टिप्पणियां
GeekNews पर भी हमने
:visitedका इस्तेमाल करने की कोशिश की थी, लेकिन security की वजह से लगभग कुछ भी संभव नहीं था, इसलिए छोड़ना पड़ा।अगर यह सब लागू हो गया, तो शायद तरह-तरह की styling संभव हो जाए।