روش جديد گوگل كروم براي محافظت از اطلاعات متخصصان
گوگل با هدف افزايش امنيت حريم خصوصي متخصصان، عملكرد يكي از بخشهاي اصلي مرورگر خود را تغيير داده است. اين بخش كه به حافظه پنهان HTTP يا حافظه پنهان مشترك معروف است، با ذخيره نسخههايي از منابع بارگيريشده در صفحه وب، مانند تصاوير و فايلهاي CSS و JavaScript كار ميكند.
ايده وجود چنين قسمتي در كروم اين است كه وقتي متخصصان دوباره به يك صفحه سر ميزنند يا در سايت ديگري همان فايلها وجود دارد، بهجاي بارگيري دوباره آنها از همان نسخههاي ذخيرهشده در حافظه پنهان داخلي استفاده شود. اين كار ميتواند تا حدودي باعث افزايش سرعت و كاهش مصرف اينترنت شود. اين قابليت از اولين روزهاي خلق اينترنت، نهتنها در گوگل كروم، بلكه در همه مرورگرها وجود دارد و بهعنوان خصيصهاي براي صرفهجويي در پهناي باند عمل ميكند.
عموما در تمام مرورگرها، سيستم حافظه پنهان يكسان عمل ميكند. هركدام از عكسها و فايلهاي CSS و JS ذخيرهشده در حافظه پنهان كدي براي بازيابي دريافت ميكنند كه عموما URL است. براي مثال، كد ذخيرهسازي براي يك تصوير همان URL آن است. زمانيكه متخصص صفحه جديدي باز ميكند، مرورگر شروع به گشتن دنبال URL يا همان كد ذخيرهسازي در ديتابيس حافظه پنهان ميكند. مرورگر از اين طريق متوجه ميشود كه آيا لازم است عكس را بارگيري كند يا ميتواند از موارد ثبتشده در حافظه پنهان استفاده كند.
سودجويان و حافظه پنهان HTTP قديمي
متأسفانه در طول سالهاي مختلف، شركتهاي تبليغاتي اينترنتي و تحليلگران متوجه شدند از همين روش ميتوان براي رديابي متخصصان و سوءاستفاده از اطلاعات آنها استفاده كرد. ايجي كيتامورا، مدافع توسعهدهندگان گوگل، دراينباره گفت:
اين مكانيزم از مدتها قبل بسيار موفق عمل كرده است؛ بااينحال، مدتي كه هر وبسايت براي پاسخگويي به درخواستهاي HTTP نياز دارد، ميتواند نشان دهد كه مرورگر به همان منبع در گذشته دسترسي داشته است. اين امر مرورگر را درمقابل حملات امنيتي سودجويان براي دستيابي به حريم خصوصي متخصصان ضعيف ميكند.
اطلاعاتي كه سودجويان ميتوانند ازطريق دستيابي به حافظه پنهان بهدست آوردند، عبارتاند از:
- تشخيص اينكه آيا متخصص از سايت خاصي بازديد كرده است: افراد ميتوانند با مطالعه حافظه پنهان، وبسايتي را پيدا كنند كه متخصص زياد به آن سر زده است و از اين طريق به سابقه مرور او در فضاي اينترنت دسترسي داشته باشند.
- حملات Cross-Site: هكرها ميتوانند با دسترسي به دادههاي موجود در حافظه پنهان متخصصان، امنيت آنها را با استفاده از حملات Cross-Site بهخطر بيندازند.
- رديابي Cross-Site: از حافظه پنهان ميتوان براي ذخيره شناسههاي كوكي استفاده كرد. اين اطلاعات بهعنوان مكانيزمي براي رديابي متخصصان در بين سايتها شناخته ميشوند.
بخشبندي حافظه پنهان در Chrome 86
با Chrome 86 كه در هفته جاري منتشر شده، گوگل تغييرات بسيار مهمي در مرورگر خود ايجاد كرده است. اين قابليت جديد كه Cache partitioning يا پارتيشنبندي حافظه پنهان نام دارد، نحوه عملكرد منابع ذخيرهشده در كش HTTP را براساس دو عامل مهم تغيير ميدهد. از حالا بهبعد، تمام كليدهاي ذخيرهسازي بهجاي يك از سه بخش تشكيل ميشوند:
- دامنه سايت (http://a.example)
- فريم فعلي منبع (http: //c.example)
- URL منبع (https: //x.example/doge.png)
گوگل موفق شده است با اضافهكردن كدهاي بيشتر به فرايند دخيرهسازي فايلها، بهطرز درخورتوجهي جلو حملات مختلف سودجويان براي بهدستآوردن اطلاعات مكانيزم حافظه پنهان مرورگر خود را بگيرد. بيشتر وبسايتها تنها ميتوانند به منابع خود دسترسي داشته باشند و كدهايي كه توليد نكردهاند، نميتوانند مطالعه كنند؛ بههميندليل، ديگر خطري متخصصان را تهديد نميكند.
البته هنوز تمام تهديدها از بين نرفته است. گاهي وقتها، سودجويان ميتوانند از اطلاعات ذخيرهشده در حافظه پنهان استفاده كنند؛ اما اكنون بسيار احتمال آن كمتر شده است.
استفاده از قابليت جديد كروم در ديگر مرورگرها
گوگل از Chrome 77 كه در سپتامبر سال ۲۰۱۹ عرضه شد، در حال آزمايش قابليت مذكور است و گفته كه اين سيستم جديد تأثير منفي روي متخصصان يا توسعهدهندگان نخواهد داشت. تنها افرادي كه تغييراتي مشاهده ميكنند، صاحبان سايتها هستند كه با افزايش حدود ۴۰ درصدي ترافيك شبكه روبهرو ميشوند.
بهزودي قابليت پارتيشنبندي حافظه پنهان به ديگر مرورگرها نيز اضافه ميشود
قابليت پارتيشنبندي حافظه پنهان اكنون در كروم و تمام مرورگرهاي ديگري دردسترس است كه براساس كد متنباز Chromium توسعه يافتهاند. بهزودي، اين ويژگي مفيد امنيتي به مرورگرهاي ديگري مانند Opera ،Edge ،Brave ،Vivaldi و ديگران ميرسد. موزيلا نيز اعلام كرده است كه برنامهاي مشابه در دستور كار خود دارد؛ اما هنوز زماني براي اعمال تغييرات مذكور در مرورگر اين شركت اعلام نشده است.
اپل از سال ۲۰۱۳ در مرورگر خود از قابليت پارتيشنبندي مشابهي استفاده ميكند؛ البته نسخه استفادهشده در مرورگر سافاري، تنها ميتواند كدهاي ذخيرهسازي را به دو بخش تقسيم كند كه ازلحاظ امنيت از قابليت جديد كروم در سطح پايينتري قرار ميگيرد.
پارتيشنبندي يكي از بخشهاي مهمي است كه بايد در مرورگرهاي شركتهاي بزرگ وجود داشته باشد؛ زيرا امنيت متخصصان را افزايش ميدهد. در سالهاي مختلف بارها ثابت شده است كه حملات مختلفي ازطريق حافظه پنهان مرورگرها تاكنون، اطلاعات مختلفي از متخصصان مانند آدرس رايانامه، توكن، شمارهكارت و تاريخچه مرورگر از متخصصان دزدي شده است. بد نيست بدانيد گوگل كاري كه سالها پيش براي حفظ امنيت متخصصانش بايد انجام ميداد، اكنون انجام داده است.
هم انديشي ها