Hầu hết mọi nền tảng hoặc dịch vụ đều tiềm ẩn lỗ hổng bảo mật, và Chrome cũng không ngoại lệ. Gần đây, Google đã xử lý một số vấn đề nghiêm trọng có thể dẫn đến truy cập trái phép dữ liệu nhạy cảm trên trình duyệt của mình, và giờ đây, họ tiếp tục giải quyết một lỗ hổng khác. Google vừa vá một lỗ hổng bảo mật lớn trong trình duyệt Chrome – một lỗ hổng đã tồn tại ngay từ những ngày đầu tiên và có thể bị lợi dụng để theo dõi thói quen duyệt web của bạn. Nếu bạn từng để ý cách các liên kết đã nhấp chuyển sang màu tím thay vì giữ màu xanh lam, thì dấu hiệu trực quan nhỏ bé đó chính là tâm điểm của vấn đề. Tính năng tưởng chừng đơn giản này thực chất đã mở ra một lỗ hổng riêng tư tồn tại suốt hai thập kỷ, có khả năng âm thầm tiết lộ một phần lịch sử duyệt web của bạn. Trong một bài đăng blog gần đây, Google đã phân tích cách thức hoạt động của lỗ hổng này: các trang web có thể định dạng kiểu cho liên kết bằng bộ chọn :visited để hiển thị màu khác nhau nếu bạn đã nhấp vào chúng trước đó, bất kể bạn đã nhấp vào chúng ở đâu. Điều này có nghĩa là các trang web khác có thể chạy các tập lệnh lén lút để kiểm tra xem liên kết nào có màu tím – và về cơ bản là xem trộm những nơi bạn đã truy cập trực tuyến. Vấn đề không chỉ dừng lại ở quyền riêng tư. Google gọi đây là một "lỗi thiết kế cốt lõi" vì nó tạo ra những rủi ro bảo mật thực sự như theo dõi, lập hồ sơ, và thậm chí là lừa đảo (phishing). Mặc dù bản vá có thể mất một thời gian mới được tung ra, nhưng cuối cùng nó cũng đã xuất hiện – và là một sự chờ đợi rất lâu. Hãy tưởng tượng kịch bản sau: bạn đang duyệt Trang A và nhấp vào một liên kết để đến Trang B. Trong trường hợp này, Trang B sẽ được thêm vào lịch sử :visited của bạn. Sau đó, bạn có thể truy cập Trang Evil, trang này cũng tạo một liên kết đến Trang B. Nếu không có cơ chế phân vùng, Trang Evil sẽ hiển thị liên kết đến Trang B dưới dạng đã truy cập – ngay cả khi bạn chưa nhấp vào liên kết đó trên Trang Evil. Khi đó, Trang Evil có thể sử dụng một phương thức khai thác bảo mật để biết liệu liên kết có được định dạng là :visited hay không, từ đó biết được rằng bạn đã truy cập Trang B trong quá khứ – làm rò rỉ thông tin về lịch sử duyệt web của bạn. Để giải quyết triệt để vấn đề này, bản cập nhật sắp tới của Chrome giới thiệu cơ chế "phân vùng ba khóa" (triple-key partitioning). Điều này có nghĩa là Chrome sẽ không còn theo dõi các liên kết đã truy cập trên phạm vi toàn cục nữa. Thay vào đó, trình duyệt giờ đây sẽ xem xét ba yếu tố trước khi đánh dấu một liên kết là đã truy cập: URL thực tế của liên kết, trang web cấp cao nhất mà bạn đang truy cập (hiển thị trên thanh địa chỉ), và nguồn gốc khung (frame origin) nơi liên kết xuất hiện. Thay đổi này đảm bảo rằng một liên kết chỉ hiển thị là đã truy cập nếu bạn đã nhấp vào nó trước đó trên cùng trang web đó và trong cùng khung đó. Nói cách khác, sẽ không còn tình trạng theo dõi lén lút giữa các trang web dựa trên lịch sử duyệt web của bạn nữa. Vì vậy, với phiên bản Chrome 136 sắp ra mắt, dự kiến vào cuối tháng 4, Google cuối cùng cũng đặt dấu chấm hết cho một vấn đề nhức nhối về quyền riêng tư kéo dài 20 năm bằng cách đại tu cách xử lý các liên kết đã truy cập. Bản vá này không chỉ tăng cường bảo mật mà còn thể hiện cam kết của Google trong việc bảo vệ dữ liệu người dùng trong môi trường trực tuyến ngày càng phức tạp.
