Bạn đã bao giờ để ý thấy những liên kết trên các trang web đổi sang màu tím, hoặc một chỉ báo trực quan nào đó, sau khi bạn đã truy cập trang đích của liên kết đó chưa? Tính năng tưởng chừng vô hại này, được trình duyệt web triển khai từ nhiều năm nay, lại vô tình trở thành một cách hiệu quả để theo dõi người dùng trên các trang web khác nhau. Tuy nhiên, với việc bổ sung tính năng Visited Link Partitioning, Google Chrome đang trở thành trình duyệt web đầu tiên được bảo vệ hoàn toàn khỏi các lỗ hổng bảo mật xoay quanh lịch sử liên kết đã truy cập, đặt ra một tiêu chuẩn mới cho quyền riêng tư trực tuyến. Sự thay đổi đột phá này dự kiến cũng sẽ được triển khai cho các trình duyệt dựa trên Chromium khác như Vivaldi và Microsoft Edge.
Lỗ hổng bảo mật từ các liên kết đã truy cập hoạt động như thế nào?
Các trình duyệt web cho phép các trang web tùy chỉnh giao diện của văn bản và các phần tử khác bằng cách sử dụng CSS selectors. Ví dụ, một trang web có thể thêm các kiểu cho ‘.dropdown input’ để thay đổi tất cả các phần tử đầu vào trong một phần tử dropdown, thay vì sử dụng ID hoặc class cho từng phần tử riêng lẻ. Bộ chọn ‘:visited’ cho phép các trang web áp dụng kiểu cho các liên kết đến các trang bạn đã truy cập, điều này hữu ích để thay đổi màu tím mặc định hoặc áp dụng các hiệu ứng khác.
Tuy nhiên, việc cho phép các trang web phát hiện các liên kết đã truy cập lại đi kèm với một số tác dụng phụ không mong muốn. Một trang web độc hại có thể bao gồm hàng trăm hoặc hàng nghìn liên kết, và bằng cách kiểm tra những liên kết nào khớp với bộ chọn :visited, nó có thể tạo ra một hồ sơ một phần về lịch sử duyệt web của bạn trên các trang web khác nhau. Điều này đặt ra một mối lo ngại lớn về quyền riêng tư và khả năng bị theo dõi.
Các trình duyệt web hiện đại đã có một số biện pháp giảm thiểu để ngăn chặn hành vi này, chẳng hạn như cung cấp dữ liệu trống khi các trang web yêu cầu danh sách các phần tử :visited và giới hạn các kiểu có thể áp dụng cho các phần tử này. Mặc dù vậy, những thay đổi này vẫn chưa ngăn chặn hoàn toàn các lỗ hổng bảo mật. Google đã tuyên bố: “Khi khả năng tùy chỉnh của các liên kết đã truy cập tăng lên theo thời gian, số lượng các cuộc tấn công được phát hiện bởi các nhà nghiên cứu bảo mật cũng ngày càng tăng.”
Visited Link Partitioning: Giải pháp đột phá từ Chrome
Giải pháp của Google là một hệ thống sandboxing (cô lập) cho các liên kết :visited, giúp cách ly lịch sử liên kết cho từng trang web riêng lẻ, thay vì lưu trữ tất cả chúng trong cùng một danh sách mà bất kỳ trang web nào cũng có thể truy cập tiềm năng. Đây là cách mà bộ nhớ cục bộ (local storage) và nhiều API trình duyệt khác đã hoạt động.
Công ty giải thích trong một bài đăng trên blog: “Bạn đang duyệt trên Trang A và nhấp vào một liên kết để chuyển đến Trang B, sự kết hợp của ‘Trang A + Trang B’ được lưu trữ trong lịch sử :visited của bạn. Bằng cách này, khi bạn truy cập Trang Độc hại, liên kết của nó đến Trang B sẽ không được hiển thị là :visited vì nó không khớp với cả hai phần của mục ‘Trang A + Trang B’ của chúng tôi (ngữ cảnh nơi bạn đã nhấp vào liên kết). Vì không có lịch sử duyệt web nào được hiển thị trên Trang Độc hại, nó không thể lợi dụng bất kỳ lỗ hổng nào. Do đó, lịch sử duyệt web của bạn được an toàn!”
Minh họa cách Visited Link Partitioning trong Chrome bảo vệ lịch sử duyệt web của bạn khỏi các trang độc hại.
Hệ thống cô lập này sẽ chặn hoàn toàn mọi lỗ hổng bảo mật tiềm ẩn xung quanh các liên kết đã truy cập. Google cũng đã thảo luận về việc loại bỏ các biện pháp giảm thiểu trước đó, vì chúng không còn cần thiết nữa, nhưng đó là “công việc trong tương lai” có thể phải mất một thời gian.
Thời điểm ra mắt và triển vọng cho các trình duyệt khác
Google cho biết tính năng Visited Link Partitioning sẽ có mặt trong Chrome 136, dự kiến được triển khai một phần vào ngày 23 tháng 4 năm 2025 và phát hành đầy đủ vào ngày 29 tháng 4 năm 2025. Có thể dự đoán rằng các trình duyệt web khác dựa trên cùng mã nguồn Chromium (như Vivaldi, Edge, Opera,…) sẽ nhận được tính năng này khi chúng cập nhật lên Chromium 136 hoặc phiên bản mới hơn.
Mozilla ủng hộ việc phân vùng liên kết đã truy cập, nhưng vẫn chưa rõ khi nào Firefox có thể triển khai tính năng tương tự – ý tưởng này đã được đề xuất lần đầu tiên tám năm trước. Đội ngũ WebKit của Apple cũng đồng tình với ý tưởng này, nhưng một lần nữa, vẫn chưa có xác nhận về thời điểm nó có thể xuất hiện trong Safari.
Kết luận
Việc Google Chrome tiên phong với Visited Link Partitioning đánh dấu một bước tiến quan trọng trong việc tăng cường quyền riêng tư và bảo mật cho người dùng internet. Bằng cách cô lập lịch sử liên kết đã truy cập theo từng ngữ cảnh trang web, Chrome sẽ giúp bạn duyệt web một cách an toàn và tự tin hơn, loại bỏ một lỗ hổng tiềm ẩn đã tồn tại trong nhiều năm. Hãy cùng chờ đợi bản cập nhật Chrome 136 để trải nghiệm tính năng bảo mật vượt trội này và chia sẻ cảm nhận của bạn về sự thay đổi tích cực này đối với lịch sử duyệt web của chúng ta.
