Google s’apprête à renforcer la sécurité de Chrome en isolant l’historique des liens visités, réduisant ainsi les risques de cyberattaques. La version 136 du navigateur intronise une nouvelle méthode qui pourrait transformer le paysage de la navigation en ligne en rendant obsolètes de nombreuses menaces liées à la confidentialité.
Les navigateurs ont mal géré le suivi des sites visités depuis les débuts d’internet. Google travaille désormais à résoudre ce problème avec Chrome. La prochaine mise à jour du navigateur améliorera la gestion de l’historique des sites visités, rendant potentiellement obsolètes toute une classe d’exploits.
Google affirme que Chrome 136 sera le premier grand navigateur à partitionner l’historique des liens visités. Traditionnellement, le sélecteur CSS « :visited » permettait aux sites web de styliser les liens visités, généralement en les faisant passer du bleu au violet. Le design moderne offre bien plus de possibilités de personnalisation, que les attaquants ont exploitées pour extraire l’historique de navigation des utilisateurs via des attaques par canal auxiliaire.
Les cybercriminels ont tiré parti de ce problème en développant des techniques créatives pour dévoiler l’historique des URL visitées, entraînant ainsi des menaces sérieuses pour la sécurité, comme le suivi, le profilage et les campagnes de phishing. Chrome 136 vise à mettre un terme à ces exploits en restreignant la manière dont les sites web appliquent des styles via le sélecteur visité.
L’historique des visites n’a traditionnellement pas été partitionné, sans restrictions spécifiques sur les sites où le sélecteur pouvait afficher les liens précédemment cliqués. La nouvelle approche de partitionnement garantira qu’un lien se présente comme « visité » (violet par défaut) uniquement sur le site d’origine et dans le cadre où l’utilisateur a d’abord cliqué dessus.
Le partitionnement empêche les fuites croisées de l’historique des liens visités, bien que Google ait prévu une exception pour les liens auto-référencés afin de préserver l’utilisabilité. L’entreprise a également choisi de ne pas déprécier totalement le sélecteur visité, arguant qu’il fournit un retour visuel essentiel pour les utilisateurs.
Chrome 132 a initialement introduit le partitionnement comme une fonctionnalité expérimentale, et Google prévoit de l’activer par défaut dans Chrome 136. D’autres navigateurs ont pris des mesures pour prévenir les fuites d’historique d’URL, mais aucun n’a mis en œuvre le partitionnement ou l’isolation de l’historique. Si l’approche de Chrome s’avère efficace sans dégrader l’expérience utilisateur, les navigateurs concurrents pourraient adopter des mesures similaires.