구글 크롬 136 20년간의 브라우저 기록 개인정보 보호 위험 수정

구글에서 제공하는 브라우저인 구글 크롬에서 수년간 웹사이트가 사용자가 이전에 방문한 링크를 통해 사용자의 검색 기록을 파악할 수 있게 하는 오래된 개인정보 보호 문제를 해결하고 있습니다.
해당 문제는 사이트에서 링크 스타일을 :visited 로 지정할 수 있게 허용한 데서 발생
즉 사용자가 이전에 링크를 클릭한 경우 기본 파란색 대신 다른 색상으로 표시하게 됩니다.
해당 시스템은 사용자가 링크를 클릭했을 때 어느 사이트에 있었는지와 관계없이 색상 변화를 표시하며 다른 사이트에서 사용자의 검색 기록을 유출하는 창의적인 스크립트를 사용할 가능성이 있습니다.
해당 문제는 사용자의 이론적인 개인정보 보호 문제일 뿐만 아니라 추적,프로파일링,피싱을 가능하게 하는 일련의 실제적인 보안 문제를 일으키게 돼 있습니다.
공격을 포함하여 과거 개인정보 보호 격차와 관련된 다양한 공격 유형을 입증
연구자들은 타이밍, 픽셀, 사용자 상호작용, 프로세스 수준
3중 키 분할을 곧 출시될 Google Chrome 버전 136에서는 방문한 링크에 대해 구현하여 20년간의 문제를 마침내 해결할 예정 
구글 크롬 은 링크 방문을 전역적으로 저장하는 대신 이제 세 개의 키, 즉 링크 URL(링크 대상), 최상위 사이트(주소 표시줄 도메인), 프레임 원점(링크가 렌더링 되는 프레임의 원점)을 사용하여 방문한 각 링크를 분할

구글 크롬

이렇게 하면 링크가 사용자가 이전에 클릭한 것과 같은 사이트, 같은 프레임 원점에서만: visited로 표시되므로 사이트 간 기록 유출이 방지
사용성을 유지하기 위해 Google은 스스로 링크 예외를 추가했습니다.

활성화 방법

새로운 :visited 격리는 Chrome 버전 132에서 실험적 기능으로 도입되었으며 Chrome 136(출시 예정)에서는 기본적으로 활성화될 예정입니다.
Chrome 132에서 135(최신)까지 사용자는 주소 표시 줄에 chrome://flags/#partition-visited-link-database-with-self-links를 입력하고 옵션을 활성화로 설정하여 해당 기능을 활성화할 수 있습니다.
Partition the Visited Link Database, including 'self-links'
Style links as visited only if they have been clicked from this top-level site and frame origin before. Additionally, style links pointing to the same URL as the page it is displayed on, which have been: visited from any top-level site and frame origin, if they are displayed in a top-level frame or same-origin subframe. – Mac, Windows, Linux, ChromeOS, Android
#partition-visited-link-database-with-self-links

partition-visited-link-database-with-self-links

해당 기능은 아직 안정적이지 않으므로 모든 상황에서 예상대로 작동하지 않을 수 있습니다.
다른 주요 브라우저에서는: visited 스타일 위험이 부분적으로 해결되지 않은 채로 남아 있습니다.
Firefox는 :visited에 적용되는 스타일을 제한하고 JavaScript가 이를 읽는 것을 차단하지만 정교한 공격 벡터로부터 이를 분리할 파티셔닝 기능은 없습니다.
Safari(사파리)는 제한을 적용하고 지능형 추적 방지와 같은 공격적인 개인정보 보호 기능을 사용하여 유출을 어느 정도 완화하지만 모든 공격을 차단할 수 있는 분할 기능은 없습니다.