`:visited` को और अधिक व्यक्तिगत बनाना - पहले से विज़िट किए गए लिंक की प्राइवेसी को मजबूत करना

xguru · 2025-04-11T09:31:02+09:00

पुराने वेब सुरक्षा मुद्दे :visited लिंक styling के ज़रिए "यूज़र की विज़िट हिस्ट्री उजागर होने" की समस्या को हल करने के लिए एक नई सुविधा पेश की गई Chrome 136 से :visited हिस्ट्री को "partitioning" के साथ स्टोर किया जाएगा, जिससे इस तरह के हमलों को मूल रूप से रोकने वाली संरचना मिलती है विज़िट किए गए लिंक को विज़ुअली अलग दिखाने की सुविधा बनी रहती है, लेकिन इसे दूसरे साइट्स द्वारा दुरुपयोग न किया जा सके, ऐसा डिज़ाइन किया गया है :visited लिंक partitioned storage का तरीका पहले, किसी लिंक पर क्लिक करने के बाद वह लिंक किसी भी साइट पर :visited स्टेटस में दिख सकता था यह एक डिज़ाइन-स्तरीय सुरक्षा खामी थी, जिससे दुर्भावनापूर्ण साइट्स यूज़र की विज़िट हिस्ट्री ट्रैक कर सकती थीं उदाहरण: Site-A में Site-B का लिंक क्लिक करने के बाद, अगर Site-Evil पर भी वही लिंक मौजूद हो, तो Site-B :visited के रूप में दिखता था और इससे यूज़र ने उसे विज़िट किया है या नहीं, यह पता चल जाता था नई संरचना में विज़िट हिस्ट्री केवल "site A + link target B" के संयोजन के रूप में स्टोर की जाती है यानी, Site-Evil पर वह :visited नहीं दिखेगा, क्योंकि यूज़र ने उस संदर्भ में उस लिंक पर क्लिक नहीं किया था नतीजतन, विज़िट हिस्ट्री अब global रूप में स्टोर नहीं होती, बल्कि "link URL + top-level site + frame origin" के आधार पर अलग-अलग रखी जाती है एक ही साइट के भीतर लिंक प्रोसेसिंग का तरीका मान लें कोई यूज़र metals.com पर धातुओं के प्रकार देख रहा था और उसने site.wiki के chrome और brass पेज क्लिक किए इसके बाद जब वह site.wiki के gold पेज पर गया, तो chrome और brass लिंक :visited के रूप में नहीं दिखेंगे, क्योंकि क्लिक का संदर्भ अलग था इसे बेहतर बनाने के लिए self-links exception जोड़ा गया एक ही साइट के अंदर subpage links, भले ही उसी context में क्लिक न किए गए हों, फिर भी :visited के रूप में दिखेंगे यह इसलिए स्वीकार किया गया है क्योंकि साइट अपने स्तर पर पहले से ही यूज़र की विज़िट हिस्ट्री ट्रैक कर सकती है, इसलिए अतिरिक्त जानकारी के खुलासे का जोखिम नहीं माना गया हालांकि, third-party साइट्स या iframe के अंदर मौजूद third-party links पर यह exception लागू नहीं होता फीचर की शुरुआत की स्थिति यह फीचर Chrome 136 से आधिकारिक रूप से पेश किया गया है Chrome इस फीचर को पेश करने वाला पहला प्रमुख ब्राउज़र है डेवलपर्स और security researchers GitHub पेज पर proposal देख सकते हैं, राय दे सकते हैं, और bugs रिपोर्ट कर सकते हैं फीचर proposal GitHub इश्यू प्रस्तावित करें और चर्चा में शामिल हों Chromium bug tracker

(developer.chrome.com)

4 पॉइंट द्वारा xguru 2025-04-11 | 1 टिप्पणियां | WhatsApp पर शेयर करें

पुराने वेब सुरक्षा मुद्दे :visited लिंक styling के ज़रिए "यूज़र की विज़िट हिस्ट्री उजागर होने" की समस्या को हल करने के लिए एक नई सुविधा पेश की गई
Chrome 136 से :visited हिस्ट्री को "partitioning" के साथ स्टोर किया जाएगा, जिससे इस तरह के हमलों को मूल रूप से रोकने वाली संरचना मिलती है
विज़िट किए गए लिंक को विज़ुअली अलग दिखाने की सुविधा बनी रहती है, लेकिन इसे दूसरे साइट्स द्वारा दुरुपयोग न किया जा सके, ऐसा डिज़ाइन किया गया है

`:visited` लिंक partitioned storage का तरीका

पहले, किसी लिंक पर क्लिक करने के बाद वह लिंक किसी भी साइट पर :visited स्टेटस में दिख सकता था
यह एक डिज़ाइन-स्तरीय सुरक्षा खामी थी, जिससे दुर्भावनापूर्ण साइट्स यूज़र की विज़िट हिस्ट्री ट्रैक कर सकती थीं
उदाहरण: Site-A में Site-B का लिंक क्लिक करने के बाद, अगर Site-Evil पर भी वही लिंक मौजूद हो, तो Site-B :visited के रूप में दिखता था और इससे यूज़र ने उसे विज़िट किया है या नहीं, यह पता चल जाता था
नई संरचना में विज़िट हिस्ट्री केवल "site A + link target B" के संयोजन के रूप में स्टोर की जाती है
यानी, Site-Evil पर वह :visited नहीं दिखेगा, क्योंकि यूज़र ने उस संदर्भ में उस लिंक पर क्लिक नहीं किया था
नतीजतन, विज़िट हिस्ट्री अब global रूप में स्टोर नहीं होती, बल्कि "link URL + top-level site + frame origin" के आधार पर अलग-अलग रखी जाती है

एक ही साइट के भीतर लिंक प्रोसेसिंग का तरीका

मान लें कोई यूज़र metals.com पर धातुओं के प्रकार देख रहा था और उसने site.wiki के chrome और brass पेज क्लिक किए
इसके बाद जब वह site.wiki के gold पेज पर गया, तो chrome और brass लिंक :visited के रूप में नहीं दिखेंगे, क्योंकि क्लिक का संदर्भ अलग था
इसे बेहतर बनाने के लिए self-links exception जोड़ा गया
एक ही साइट के अंदर subpage links, भले ही उसी context में क्लिक न किए गए हों, फिर भी :visited के रूप में दिखेंगे
यह इसलिए स्वीकार किया गया है क्योंकि साइट अपने स्तर पर पहले से ही यूज़र की विज़िट हिस्ट्री ट्रैक कर सकती है, इसलिए अतिरिक्त जानकारी के खुलासे का जोखिम नहीं माना गया
हालांकि, third-party साइट्स या iframe के अंदर मौजूद third-party links पर यह exception लागू नहीं होता

फीचर की शुरुआत की स्थिति

यह फीचर Chrome 136 से आधिकारिक रूप से पेश किया गया है
Chrome इस फीचर को पेश करने वाला पहला प्रमुख ब्राउज़र है
डेवलपर्स और security researchers GitHub पेज पर proposal देख सकते हैं, राय दे सकते हैं, और bugs रिपोर्ट कर सकते हैं
फीचर proposal GitHub
इश्यू प्रस्तावित करें और चर्चा में शामिल हों
Chromium bug tracker

1 टिप्पणियां

xguru 2025-04-11

GeekNews पर भी हमने :visited का इस्तेमाल करने की कोशिश की थी, लेकिन security की वजह से लगभग कुछ भी संभव नहीं था, इसलिए छोड़ना पड़ा।
अगर यह सब लागू हो गया, तो शायद तरह-तरह की styling संभव हो जाए।

`:visited` को और अधिक व्यक्तिगत बनाना - पहले से विज़िट किए गए लिंक की प्राइवेसी को मजबूत करना

:visited लिंक partitioned storage का तरीका

एक ही साइट के भीतर लिंक प्रोसेसिंग का तरीका

फीचर की शुरुआत की स्थिति

संबंधित पढ़ाई

1 टिप्पणियां

`:visited` लिंक partitioned storage का तरीका