Con l’arrivo della versione 136 di Google Chrome, viene messa la parola fine a una delle falle di sicurezza più longeve del web. Dopo oltre vent’anni, il browser più usato al mondo ha finalmente eliminato una tecnica che permetteva di spiare la cronologia degli utenti, sfruttando un meccanismo apparentemente innocuo legato ai link visitati.
Addio al trucchetto del link colorato, il vecchio trucco del selettore “:visited”
Da decenni i browser distinguono graficamente i link già visitati da quelli ancora mai cliccati. Il tutto grazie al selettore CSS :visited, che modifica ad esempio il colore dei collegamenti dopo la visita. Ma proprio questa innocua funzionalità è stata sfruttata da attori malevoli per cercare di capire quali pagine un utente avesse già aperto in passato.
Bastava inserire un elenco invisibile di link all’interno di un sito, e usare il metodo window.getComputedStyle per osservare il colore associato a ciascuno. Se un link era colorato, significava che era già stato visitato. Un’operazione semplice, silenziosa e potenzialmente devastante per la privacy.
La soluzione radicale arriva con Chrome 136: la cronologia viene ora isolata per dominio
Google ha deciso di intervenire in modo definitivo. Come spiega Kyra Seevers, ingegnere software dell’azienda, il problema è stato affrontato con un approccio architetturale completamente nuovo. In Chrome 136 non esiste più una lista globale dei link visitati: ogni informazione viene partizionata per contesto, cioè per sito, dominio e frame di origine.
Con questo sistema, un sito può sapere solo se l’utente ha visitato un suo link interno, ma non potrà più rilevare l’attività su altri siti. Una barriera tecnica che rende del tutto inutilizzabili gli attacchi basati sulla vecchia tecnica di “history sniffing”.
Una svolta attesa da anni
L’esperto di sicurezza Lukasz Olejnik, che studia la questione da oltre un decennio, ha definito questa soluzione “rivoluzionaria”, perché rompe il ciclo continuo di tentativi di attacco e contromisure che ha caratterizzato l’intera storia del web moderno.
Il rilascio stabile di Chrome 136 è previsto per il 23 aprile 2025, e segnerà una tappa importante per la protezione della navigazione privata. Dopo anni di tentativi, mitigazioni e limiti temporanei, la cronologia di navigazione torna davvero a essere un dato personale. E questa volta, per sempre.
