Τρίτη, 27 Οκτωβρίου, 13:34
Αρχική Updates Ο Chrome αλλάζει την λειτουργία της cache για τη βελτίωση του απορρήτου

Ο Chrome αλλάζει την λειτουργία της cache για τη βελτίωση του απορρήτου

Η Google άλλαξε τον τρόπο με τον οποίο λειτουργεί ένα βασικό component του προγράμματος περιήγησης Chrome, προκειμένου να προσθέσει επιπλέον προστασία απορρήτου στους χρήστες.

Γνωστό ως HTTP Cache ή Shared Cache, αυτό το “Chrome component” λειτουργεί αποθηκεύοντας αντίγραφα των resources που φορτώθηκαν σε μια ιστοσελίδα, όπως εικόνες, αρχεία CSS και αρχεία JavaScript.

Η ιδέα είναι ότι όταν ένας χρήστης επισκέπτεται ξανά τον ίδιο ιστότοπο ή επισκέπτεται έναν άλλο ιστότοπο όπου χρησιμοποιούνται τα ίδια αρχεία, ο Chrome θα τα φορτώνει από την εσωτερική του κρυφή μνήμη, αντί να σπαταλά χρόνο να επαναλάβει τη λήψη κάθε αρχείου ξανά.

Ο Chrome αλλάζει την λειτουργία της cache για τη βελτίωση του απορρήτου

Αυτό το component υπήρχε όχι μόνο στον Chrome αλλά και σε όλα τα προγράμματα περιήγησης ιστού από τις πρώτες μέρες του internet και χρησίμευσε ως λειτουργία εξοικονόμησης εύρους ζώνης.

Σε όλα τα προγράμματα περιήγησης, το σύστημα προσωρινής αποθήκευσης (cache) λειτουργεί συνήθως με τον ίδιο τρόπο. Κάθε εικόνα, CSS ή αρχείο JS που αποθηκεύεται στην κρυφή μνήμη λαμβάνει ένα κλειδί αποθήκευσης που είναι συνήθως η διεύθυνση URL του resource.

Για παράδειγμα, το κλειδί αποθήκευσης μιας εικόνας θα είναι το ίδιο το URL της εικόνας: https: //x.example/doge.png.

Όταν το πρόγραμμα περιήγησης φορτώσει μια νέα σελίδα, θα αναζητήσει το κλειδί (URL) μέσα στην εσωτερική βάση δεδομένων της προσωρινής μνήμης και θα δει αν χρειάζεται να κατεβάσει την εικόνα ή να τη φορτώσει από την προσωρινή μνήμη.

Δυστυχώς, όλα αυτά τα χρόνια, οι διαφημιστικές εταιρείες συνειδητοποίησαν ότι αυτή η δυνατότητα θα μπορούσε να χρησιμοποιηθεί για να παρακολουθήσουν τους χρήστες.

“Αυτός ο μηχανισμός λειτούργησε καλά από την άποψη της απόδοσης για μεγάλο χρονικό διάστημα”, δήλωσε ο Eiji Kitamura, προγραμματιστής της Google.

“Ωστόσο, ο χρόνος που χρειάζεται ένας ιστότοπος για να ανταποκριθεί σε αιτήματα HTTP μπορεί να αποκαλύψει ότι το πρόγραμμα περιήγησης είχε πρόσβαση στο ίδιο resource στο παρελθόν, το οποίο αφήνει ανοιχτό το πρόγραμμα περιήγησης σε επιθέσεις ασφάλειας και απορρήτου.”

Αυτά περιλαμβάνουν τα εξής:

  • Εντοπισμός εάν ένας χρήστης έχει επισκεφθεί έναν συγκεκριμένο ιστότοπο: Ένας αντίπαλος μπορεί να εντοπίσει το ιστορικό περιήγησης ενός χρήστη ελέγχοντας εάν η προσωρινή μνήμη (cache) έχει ένα resource που μπορεί να είναι συγκεκριμένο για έναν συγκεκριμένο ιστότοπο ή μια ομάδα ιστότοπων.
  • Επίθεση αναζήτησης cross-site: Ένας αντίπαλος μπορεί να εντοπίσει εάν ένα αυθαίρετο string βρίσκεται στα αποτελέσματα αναζήτησης του χρήστη, ελέγχοντας εάν μια εικόνα «χωρίς αποτελέσματα αναζήτησης» που χρησιμοποιείται από έναν συγκεκριμένο ιστότοπο βρίσκεται στην προσωρινή μνήμη του προγράμματος περιήγησης.
  • Εντοπισμός cross-site: Η προσωρινή μνήμη (cache) μπορεί να χρησιμοποιηθεί για την αποθήκευση αναγνωριστικών που μοιάζουν με cookies ως μηχανισμό παρακολούθησης μεταξύ ιστότοπων.

Ωστόσο, με τον Chrome 86, που κυκλοφόρησε νωρίτερα αυτήν την εβδομάδα, η Google παρουσίασε σημαντικές αλλαγές σε αυτόν τον μηχανισμό.

Γνωστή ως “cache partitioning”, αυτή η λειτουργία λειτουργεί αλλάζοντας τον τρόπο αποθήκευσης των resources στην προσωρινή μνήμη HTTP με βάση δύο επιπλέον παράγοντες. Από τώρα και στο εξής, το κλειδί αποθήκευσης ενός resource θα περιέχει τρία στοιχεία, αντί για ένα:

  • Το site domain ανώτατου επιπέδου (http: //a.example)
  • Το τρέχον πλαίσιο του resource (http: //c.example)
  • Διεύθυνση URL του resource (https: //x.example/doge.png)

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Παραβίαση σε κλινική ψυχοθεραπείας οδήγησε σε εκβιασμούς ασθενών

Πριν δύο χρόνια, έλαβε χώρα μια κυβερνοεπίθεση σε μια φινλανδική κλινική ψυχοθεραπείας, η οποία κατέληξε σε κλοπή δεδομένων και απαίτηση λύτρων. Τώρα,...

Αυστραλία: Ενισχύει την κυβερνοασφάλεια και την προστασία απορρήτου!

Η κυβέρνηση της Νέας Νότιας Ουαλίας στην Αυστραλία έχει δημιουργήσει μια ειδική ομάδα, με στόχο να ενισχύσει την κυβερνοασφάλεια και την προστασία...

Πάνω από 100 συστήματα άρδευσης αφέθηκαν εκτεθειμένα στο διαδίκτυο

Πάνω από 100 έξυπνα συστήματα άρδευσης αφέθηκαν εκτεθειμένα στο διαδίκτυο χωρίς κωδικό πρόσβασης τον περασμένο μήνα, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση...

Παραβίαση στη Nitro Software επηρεάζει πιθανότατα Google, Apple, Microsoft

Η υπηρεσία Nitro PDF (της Nitro Software) υπέστη μια παραβίαση δεδομένων, η οποία λέγεται ότι επηρεάζει πολλές γνωστές εταιρείες, όπως η Google,...

Χάκερ κλέβει 24 εκατ. $ από την υπηρεσία cryptocurrency Harvest Finance

Ένας χάκερ έχει κλέψει «cryptocurrency assets» αξίας περίπου 24 εκατομμυρίων δολαρίων από την υπηρεσία αποκεντρωμένης χρηματοδότησης (DeFi) Harvest Finance, μια διαδικτυακή πύλη...

Ransomware επίθεση “χτύπησε” εκλογικό database στη Τζόρτζια των ΗΠΑ!

Μια ransomware επίθεση έπληξε κομητεία της Τζόρτζια των ΗΠΑ στις αρχές του μήνα, επηρεάζοντας ένα database που χρησιμοποιείται για την επαλήθευση των...

Παραβίαση δεδομένων στο γραφείο του Σερίφη στην Hennepin

Παραβίαση δεδομένων υπέστη το Γραφείο του Σερίφη στην κομητεία του Hennepin, η οποία είχε σαν αποτέλεσμα την διαρροή πληροφοριών περίπου 1400 ατόμων.

Play Store: Βρέθηκαν 21 Android εφαρμογές με adware

Η Google αφαίρεσε 15 Android εφαρμογές από το Play Store, κατά τη διάρκεια του Σαββατοκύριακου, καθώς σύμφωνα με μια αναφορά από την...

Το νέο botnet KashmirBlack έχει μολύνει εκατοντάδες χιλιάδες websites

Το νέο botnet KashmirBlack πιστεύεται ότι έχει μολύνει εκατοντάδες χιλιάδες ιστότοπους από το Νοέμβριο του 2019.

FBI: Στηρίζει το Cyber Camp των ΗΠΑ για την εκπαίδευση νέων στο IT και την κυβερνοασφάλεια

Το αμερικανικό διαστημικό και πυραυλικό κέντρο (USSRC) και το FBI συνεργάζονται έχοντας ως στόχο την υποστήριξη του Cyber Camp των ΗΠΑ. Αυτό...