Trong kỷ nguyên số hóa, quyền riêng tư trực tuyến ngày càng trở thành mối quan tâm hàng đầu của người dùng. Một trong những tính năng tưởng chừng vô hại của trình duyệt web – việc các liên kết đã được truy cập đổi màu (thường là màu tím) – hóa ra lại ẩn chứa một lỗ hổng bảo mật tiềm tàng. Google Chrome đang tiên phong giải quyết vấn đề này bằng cách bổ sung tính năng “phân vùng liên kết đã truy cập” (visited link partitioning), đánh dấu một bước tiến quan trọng trong việc bảo vệ người dùng khỏi các hành vi theo dõi tinh vi. Thay đổi này dự kiến sẽ mở rộng sang các trình duyệt dựa trên Chromium khác như Vivaldi và Microsoft Edge, mang lại một lớp bảo mật mới cho hàng tỷ người dùng trên toàn cầu.
Lỗ Hổng Bảo Mật Từ Liên Kết Đã Truy Cập Hoạt Động Như Thế Nào?
Các trình duyệt web cho phép các trang web tùy chỉnh giao diện của văn bản và các phần tử khác thông qua bộ chọn CSS (CSS selectors). Trong đó, bộ chọn :visited cho phép các trang web áp dụng các kiểu (styles) khác nhau cho những liên kết mà người dùng đã truy cập. Điều này hữu ích để thay đổi màu mặc định của liên kết hoặc áp dụng các hiệu ứng khác, giúp người dùng dễ dàng nhận biết các trang đã xem.
Tuy nhiên, việc cung cấp khả năng phát hiện liên kết đã truy cập cho các trang web lại tạo ra một tác dụng phụ nguy hiểm. Một trang web độc hại có thể nhúng hàng trăm hoặc hàng nghìn liên kết ẩn và bằng cách kiểm tra xem những liên kết nào khớp với bộ chọn :visited, nó có thể tạo ra một bản ghi sơ bộ về lịch sử duyệt web của bạn trên các trang web khác nhau. Điều này cho phép kẻ tấn công xây dựng một hồ sơ người dùng mà không cần sự đồng ý rõ ràng, vi phạm nghiêm trọng quyền riêng tư.
Các trình duyệt web hiện đại đã triển khai nhiều biện pháp giảm thiểu để ngăn chặn hành vi này, chẳng hạn như cung cấp dữ liệu trống khi các trang web yêu cầu danh sách các phần tử :visited và giới hạn các kiểu có thể áp dụng cho chúng. Dù vậy, những thay đổi này vẫn chưa hoàn toàn ngăn chặn được các lỗ hổng bảo mật. Google đã thừa nhận rằng, “khi khả năng tùy chỉnh của liên kết đã truy cập tăng lên theo thời gian, số lượng các cuộc tấn công được các nhà nghiên cứu bảo mật phát hiện cũng tăng theo.”
Giải Pháp Đột Phá Từ Chrome: Phân Vùng Liên Kết Đã Truy Cập
Giải pháp của Google là một hệ thống sandboxing (cô lập) dành cho các liên kết :visited. Thay vì lưu trữ tất cả lịch sử liên kết đã truy cập trong cùng một danh sách mà bất kỳ trang web nào cũng có thể truy cập tiềm năng, hệ thống này sẽ cô lập lịch sử liên kết cho từng trang web riêng lẻ. Đây là cách mà bộ nhớ cục bộ (local storage) và nhiều API trình duyệt khác đang hoạt động.
Công ty giải thích trong một bài đăng trên blog: “Bạn đang duyệt trên Trang A và nhấp vào một liên kết để đến Trang B, sự kết hợp của ‘Trang A + Trang B’ được lưu trữ trong lịch sử :visited của bạn. Bằng cách này, khi bạn truy cập Trang Độc Hại, liên kết của nó đến Trang B sẽ không được hiển thị là :visited vì nó không khớp với cả hai phần của mục ‘Trang A + Trang B’ của chúng tôi (ngữ cảnh mà bạn đã nhấp vào liên kết ban đầu). Vì không có lịch sử duyệt web nào được hiển thị trên Trang Độc Hại, nó không thể tận dụng bất kỳ khai thác nào. Do đó, lịch sử trình duyệt của bạn được an toàn!”
Giao diện Chrome minh họa tính năng phân vùng liên kết đã truy cập, ngăn chặn theo dõi lịch sử duyệt web qua màu sắc liên kết.
Hệ thống cô lập này dự kiến sẽ chặn hoàn toàn mọi lỗ hổng bảo mật tiềm ẩn xung quanh các liên kết :visited. Google cũng đã thảo luận về việc loại bỏ các biện pháp giảm thiểu trước đây vì chúng không còn cần thiết nữa, nhưng đây là “công việc trong tương lai” có thể phải mất một thời gian.
Thời Điểm Ra Mắt Và Tác Động Đến Các Trình Duyệt Khác
Google cho biết tính năng phân vùng liên kết đã truy cập sẽ có sẵn trong Chrome 136, phiên bản dự kiến sẽ được triển khai một phần vào ngày 23 tháng 4 năm 2025 và phát hành đầy đủ vào ngày 29 tháng 4 năm 2025. Có khả năng, các trình duyệt web khác dựa trên cùng mã nguồn Chromium (như Vivaldi, Edge, Opera, Brave…) sẽ nhận được tính năng này khi chúng cập nhật lên Chromium 136 hoặc các phiên bản mới hơn.
Mozilla, nhà phát triển Firefox, bày tỏ sự ủng hộ đối với tính năng phân vùng liên kết đã truy cập, mặc dù chưa rõ khi nào Firefox có thể triển khai tính năng tương tự – ý tưởng này đã được đề xuất lần đầu tiên cách đây tám năm. Đội ngũ WebKit của Apple cũng hoan nghênh ý tưởng này, nhưng cũng chưa có xác nhận về thời điểm nó có thể xuất hiện trong Safari.
Kết Luận
Tính năng phân vùng liên kết đã truy cập của Google Chrome là một bước tiến quan trọng trong việc bảo vệ quyền riêng tư và tăng cường bảo mật cho người dùng trên không gian mạng. Bằng cách loại bỏ một lỗ hổng đã tồn tại từ lâu, Chrome không chỉ đảm bảo lịch sử duyệt web của bạn được giữ kín mà còn khẳng định cam kết của Google trong việc xây dựng một môi trường web an toàn hơn. Khi công nghệ phát triển, các mối đe dọa bảo mật cũng trở nên tinh vi hơn, và những cải tiến như thế này là cần thiết để duy trì niềm tin và sự an toàn cho người dùng. Hãy tiếp tục theo dõi trithuccongnghe.net để cập nhật những thông tin mới nhất về các tính năng bảo mật và công nghệ đột phá khác.
Nguồn: Chrome for Developers