`:visited` personalisieren – mehr Privatsphäre für bereits besuchte Links
(developer.chrome.com)- Um das alte Web-Sicherheitsproblem zu lösen, dass sich über das Styling von
:visited-Links der „Besuchsverlauf von Nutzern offenlegen“ ließ, wurde eine neue Funktion eingeführt - Ab Chrome 136 wird der
:visited-Verlauf „partitioniert“ gespeichert, wodurch die Architektur so verbessert wird, dass diese Angriffe grundsätzlich blockiert werden können - Die visuelle Unterscheidung besuchter Links bleibt erhalten, ist aber so gestaltet, dass andere Websites sie nicht missbrauchen können
Erklärung der partitionierten Speicherung von :visited-Links
- Im bisherigen Verfahren wurde ein angeklickter Link auf jeder Website als
:visitedangezeigt - Das war ein Sicherheitsfehler im Design, der es bösartigen Websites ermöglichte, den Besuchsverlauf von Nutzern nachzuverfolgen
- Beispiel: Nachdem auf Site-A ein Link zu Site-B angeklickt wurde, konnte Site-Evil bei demselben Link erkennen, dass Site-B als
:visitedmarkiert war, und so feststellen, ob der Nutzer die Seite besucht hatte - In der neuen Architektur wird der Besuchsverlauf nur noch für die Kombination „Site A + Linkziel B“ gespeichert
- Das heißt: Auf Site-Evil wird der Link nicht als
:visitedangezeigt, weil der Nutzer ihn dort nicht angeklickt hat - Dadurch wird der Besuchsverlauf nicht mehr global gespeichert, sondern anhand von „Link-URL + Top-Level-Site + Frame-Herkunft“ getrennt abgelegt
Verarbeitung von Links innerhalb derselben Website
- Angenommen, ein Nutzer recherchiert Metallarten und hat auf
metals.comdiesite.wiki-Seiten zu chrome und brass angeklickt - Besucht er später die gold-Seite von
site.wiki, werden die Links zu chrome und brass nicht als:visitedangezeigt, weil sie in einem anderen Kontext angeklickt wurden - Um das zu verbessern, wurde eine Ausnahme für
self-linkseingeführt - Links zu Unterseiten innerhalb derselben Website werden auch dann als
:visitedangezeigt, wenn sie nicht im exakt gleichen Kontext angeklickt wurden - Das ist zulässig, weil eine Website den eigenen Besuchsverlauf der Nutzer ohnehin selbst nachverfolgen kann und daher keine zusätzlichen Informationen offengelegt werden
- Für Drittanbieter-Websites oder Drittanbieter-Links in iframes gilt diese Ausnahme jedoch nicht
Einführungsstatus der Funktion
- Die Funktion ist ab Chrome 136 offiziell verfügbar
- Chrome ist der erste große Browser, der diese Funktion eingeführt hat
- Entwickler und Sicherheitsforscher können den Vorschlag auf GitHub einsehen, Feedback geben und Bugs melden
- Feature-Vorschlag auf GitHub
- Issues vorschlagen und an der Diskussion teilnehmen
- Chromium Bug-Tracker
1 Kommentare
Auch bei GeekNews wollten wir
:visitednutzen, haben es wegen der Sicherheit aber aufgegeben, weil fast nichts möglich war.Wenn das alles umgesetzt wird, könnten vielleicht verschiedenste Stylings möglich werden.