服役23年的Chrome 136重磅更新：终结网站窥探用户浏览历史的漏洞

Chrome大版本更新！强势封堵隐私泄露黑洞，你的上网痕迹我们替你守牢

　　 4月8日消息，谷歌软件工程师Kyra Seevers在博文中透露，Chrome 136将彻底修复一个已存在23年的浏览器历史嗅探漏洞。目前该版本已上周四推送至Chrome Beta频道，预计将在4月23日正式发布。Seevers指出：“这将是首个让此类攻击失效的主流浏览器。”

　　 浏览器历史嗅探是一种利用网页链接颜色变化来推测用户浏览记录的技术手段。这种攻击方式通过在网页中设置大量超链接，观察浏览器对这些链接的渲染状态，比如已访问链接通常显示为紫色，以此判断用户是否曾经访问过某些特定网站。尽管这种方式能够帮助用户快速识别已访问的页面，但同时也暴露了用户的隐私风险。 我认为，这种技术虽然表面上看似无害，但实际上可能成为侵犯个人隐私的重要途径。随着互联网的发展，用户的每一次点击都可能被记录下来，而浏览器历史嗅探无疑加剧了这种担忧。它不仅可能泄露用户的私人兴趣爱好，还可能被不法分子用于更深层次的数据挖掘，甚至威胁到用户的网络安全。因此，我们需要加强对浏览器功能的安全性审查，同时呼吁各大浏览器厂商采取措施限制此类行为，保护用户的隐私权益。

　　 据了解，这种攻击方式早在 2000 年就被普林斯顿大学的研究人员 Edward Felten 和 Michael Schneider 在论文《Timing Attacks on Web Privacy》中提及。2002 年 5 月 28 日，当时在 Mozilla 工作的 David Baron 提交了一份关于该问题的 Firefox 错误报告。然而，直到 2009 年 4 月，一个名为 StartPanic 的网站才真正引起公众关注，该网站展示了如何通过链接颜色推断用户的浏览历史，并呼吁浏览器厂商修复这一隐私漏洞。

　　 此后，尽管浏览器厂商已经尝试推出一些缓解措施，但这些问题依然未能得到完全解决。2010年，Mozilla通过一篇博客文章指出，在默认设置下，网站能够读取用户已访问链接与未访问链接之间的颜色差异。同年，研究者Artur Janc和Lukasz Olejnik在Web2.0安全与隐私研讨会上发表了一篇论文，详细探讨了如何利用CSS滥用来进行浏览器历史检测的技术。到了2011年，卡内基梅隆大学的研究团队进一步揭示了这一领域的潜在风险，在他们的论文《I Still Know What You Visited Last Summer》中列举了六种可以绕过现有防护机制的历史嗅探漏洞。 我认为，这再次凸显了网络安全领域的一个重要挑战：技术进步的同时，也伴随着新的安全隐患。虽然浏览器厂商不断努力改进，但漏洞的存在表明当前的安全架构仍有不足之处。这不仅提醒我们个人需要更加注重隐私保护，同时也呼吁技术开发者要持续关注用户数据安全，加强防范措施，以应对未来可能出现的各种新型攻击手段。此外，这也反映了学术界与产业界的紧密合作对于推动网络安全发展的重要性，只有两者共同协作，才能更好地守护用户的数字生活。

　　 Chrome 136 的发布将标志着这一长期隐私漏洞的终结。谷歌采用了一种名为“分区访问链接历史”的新解决方案。该方案彻底改变了浏览器存储和暴露已访问链接数据的方式。具体而言，浏览器不再维护一个全局列表，而是将已访问链接存储为一个三元组分区，包括链接 URL、顶级网站域和渲染链接的框架来源。只有这三个键完全匹配时，链接才会被 `:visited` CSS 选择器样式化。

　　 这种分区机制有效防止了网站探测其他网站的访问状态，原因是它们的域名并不一致。正如Seevers所阐述的：“分区意味着在保存链接时，会附加上点击链接时所在位置的额外信息。在Chrome里，这涵盖了链接地址、主站点以及框架来源。一旦启用了分区功能，你的`:visited`历史记录便不再是可供任何网站查询的统一列表，而是依据最初访问链接时的具体上下文环境，被‘分区’或者独立开来。”

　　 Olejnik 表示，这一解决方案标志着浏览器架构的演变，结束了隐私工程师与攻击者之间长达数十年的“军备竞赛”。他说：“这标志着在为所有用户构建一个更私密、更尊重隐私的网络方面迈出了重要一步。”