روش جديد گوگل كروم براي محافظت از اطلاعات متخصصان

گوگل با هدف افزايش امنيت حريم خصوصي متخصصان، عملكرد يكي از بخش‌هاي اصلي مرورگر خود را تغيير داده است. اين بخش كه به حافظه پنهان HTTP يا حافظه پنهان مشترك معروف است، با ذخيره نسخه‌هايي از منابع بارگيري‌شده در صفحه وب، مانند تصاوير و فايل‌هاي CSS و JavaScript كار مي‌كند.

ايده وجود چنين قسمتي در كروم اين است كه وقتي متخصصان دوباره به يك صفحه سر مي‌زنند يا در سايت ديگري همان فايل‌ها وجود دارد، به‌جاي بارگيري دوباره آن‌ها از همان نسخه‌هاي ذخيره‌شده در حافظه پنهان داخلي استفاده شود. اين كار مي‌تواند تا حدودي باعث افزايش سرعت و كاهش مصرف اينترنت شود. اين قابليت از اولين روزهاي خلق اينترنت، نه‌تنها در گوگل كروم، بلكه در همه مرورگرها وجود دارد و به‌عنوان خصيصه‌اي براي صرفه‌جويي در پهناي باند عمل مي‌كند.

متأسفانه در طول سال‌هاي مختلف، شركت‌هاي تبليغاتي اينترنتي و تحليلگران متوجه شدند از همين روش مي‌توان براي رديابي متخصصان و سوءاستفاده از اطلاعات آن‌ها استفاده كرد. ايجي كيتامورا، مدافع توسعه‌دهندگان گوگل، در‌اين‌باره گفت:

اين مكانيزم از مدت‌ها قبل بسيار موفق عمل كرده است؛ بااين‌حال، مدتي‌ كه هر وب‌سايت براي پاسخ‌گويي به درخواست‌هاي HTTP نياز دارد، مي‌تواند نشان دهد كه مرورگر به همان منبع در گذشته دسترسي داشته است. اين امر مرورگر را درمقابل حملات امنيتي سودجويان براي دستيابي به حريم خصوصي متخصصان ضعيف مي‌كند.

اطلاعاتي كه سودجويان مي‌توانند ازطريق دستيابي به حافظه پنهان به‌دست آوردند، عبارت‌اند از:

• تشخيص اينكه آيا متخصص از سايت خاصي بازديد كرده است: افراد مي‌توانند با مطالعه حافظه پنهان، وب‌سايتي را پيدا كنند كه متخصص زياد به آن سر زده است و از اين طريق به سابقه مرور او در فضاي اينترنت دسترسي داشته باشند.
• حملات Cross-Site: هكرها مي‌توانند با دسترسي به داده‌هاي موجود در حافظه پنهان متخصصان، امنيت آن‌ها را با استفاده از حملات Cross-Site به‌خطر بيندازند.
• رديابي Cross-Site: از حافظه پنهان مي‌توان براي ذخيره شناسه‌هاي كوكي استفاده كرد. اين اطلاعات به‌عنوان مكانيزمي براي رديابي متخصصان در بين سايت‌ها شناخته مي‌شوند.

با Chrome 86 كه در هفته جاري منتشر شده، گوگل تغييرات بسيار مهمي در مرورگر خود ايجاد كرده است. اين قابليت جديد كه Cache partitioning يا پارتيشن‌بندي حافظه پنهان نام دارد، نحوه عملكرد منابع ذخيره‌شده در كش HTTP را بر‌اساس دو عامل مهم تغيير مي‌دهد. از حالا به‌بعد، تمام كليدهاي ذخيره‌سازي به‌جاي يك از سه بخش تشكيل مي‌شوند:

• دامنه سايت (http://a.example)
• فريم فعلي منبع (http: //c.example)
• URL منبع (https: //x.example/doge.png)

گوگل موفق شده است با اضافه‌كردن كدهاي بيشتر به فرايند دخيره‌سازي فايل‌ها، به‌طرز درخور‌توجهي جلو حملات مختلف سودجويان براي به‌دست‌آوردن اطلاعات مكانيزم حافظه پنهان مرورگر خود را بگيرد. بيشتر وب‌سايت‌ها تنها مي‌توانند به منابع خود دسترسي داشته باشند و كدهايي كه توليد نكرده‌اند، نمي‌توانند مطالعه كنند؛ به‌همين‌دليل، ديگر خطري متخصصان را تهديد نمي‌كند.

البته هنوز تمام تهديدها از بين نرفته است. گاهي وقت‌ها، سودجويان مي‌توانند از اطلاعات ذخيره‌شده در حافظه پنهان استفاده كنند؛ اما اكنون بسيار احتمال آن كمتر شده است.

گوگل از Chrome 77 كه در سپتامبر سال ۲۰۱۹ عرضه شد، در حال آزمايش قابليت مذكور است و گفته كه اين سيستم جديد تأثير منفي روي متخصصان يا توسعه‌دهندگان نخواهد داشت. تنها افرادي كه تغييراتي مشاهده مي‌كنند، صاحبان سايت‌ها هستند كه با افزايش حدود ۴۰ درصدي ترافيك شبكه روبه‌رو مي‌شوند.

اپل از سال ۲۰۱۳ در مرورگر خود از قابليت پارتيشن‌بندي مشابهي استفاده مي‌كند؛ البته نسخه استفاده‌شده در مرورگر سافاري، تنها مي‌تواند كدهاي ذخيره‌سازي را به دو بخش تقسيم كند كه ازلحاظ امنيت از قابليت جديد كروم در سطح پايين‌تري قرار مي‌گيرد.

پارتيشن‌بندي يكي از بخش‌هاي مهمي است كه بايد در مرورگرهاي شركت‌هاي بزرگ وجود داشته باشد؛‌ زيرا امنيت متخصصان را افزايش مي‌دهد. در سال‌هاي مختلف بارها ثابت شده است كه حملات مختلفي ازطريق حافظه پنهان مرورگرها تاكنون، اطلاعات مختلفي از متخصصان مانند آدرس رايانامه، توكن، شماره‌كارت و تاريخچه مرورگر از متخصصان دزدي شده است. بد نيست بدانيد گوگل كاري كه سال‌ها پيش براي حفظ امنيت متخصصانش بايد انجام مي‌داد، اكنون انجام داده است.