Una vulnerabilità di sicurezza si annida in Chrome dall'alba dei tempi, preparandosi finalmente a scomparire dopo sedici anni di presenza silenziosa. Google sta per implementare un aggiornamento cruciale che corregge un difetto di progettazione presente sin dal lancio del browser nel lontano 2008, una falla che ha potenzialmente esposto frammenti della cronologia di navigazione di milioni di utenti nel corso degli anni. La problematica, legata al sistema di visualizzazione dei link già visitati, rappresenta un rischio concreto non solo per la privacy ma anche per la sicurezza online.
Il meccanismo alla base della vulnerabilità è semplice ma insidioso: i link che appaiono in viola nel browser indicano pagine già visitate dall'utente. Questa funzionalità, apparentemente innocua e pensata per migliorare l'esperienza di navigazione, si è rivelata essere una porta aperta per potenziali attacchi alla privacy. Il problema fondamentale risiede nel fatto che Chrome ha sempre marcato i link come "visitati" indipendentemente dal contesto in cui erano stati precedentemente cliccati.
Questa caratteristica ha permesso a siti web malevoli di eseguire script nascosti capaci di verificare quali link apparivano in viola, ottenendo così informazioni preziose sulle abitudini di navigazione degli utenti. Un sistema che Google stessa ha definito come un "difetto di progettazione fondamentale" del browser, non limitato alla sola violazione della privacy ma esteso a rischi concreti di tracciamento, profilazione e perfino tentativi di phishing.
La persistenza di questo problema per oltre un decennio e mezzo solleva interrogativi su come una vulnerabilità tanto basilare sia potuta rimanere irrisolta per così tanto tempo, considerando l'attenzione che Google generalmente dedica alla sicurezza dei propri prodotti.
L'arrivo della soluzione è previsto per fine aprile 2024, con il rilascio di Chrome versione 136. L'aggiornamento introdurrà il "triple-key partitioning", un sistema che rivoluziona completamente il modo in cui il browser gestisce i link visitati. Anziché tracciare globalmente i siti web già aperti, Chrome utilizzerà tre parametri distinti prima di marcare un link come "visitato": l'URL effettivo del link, il sito di alto livello su cui ci si trova e l'origine del frame in cui il link appare.
In termini pratici, un link apparirà in viola solo se l'utente ha cliccato su quello stesso collegamento, sullo stesso sito e nello stesso frame in precedenza. Questo approccio drasticamente più restrittivo garantirà una significativa riduzione dei link contrassegnati come già visitati, ma soprattutto chiuderà definitivamente una falla che ha potenzialmente compromesso la privacy degli utenti di Chrome per quasi due decenni.