Bu içerik, ilgili yazılım ve bilgiler kontrol edilerek güncel sürüm ve kullanım durumuna göre revize edilmiştir.
Yazar: Bünyamin KAYA
Google, Chrome 136’da ziyaret edilen bağlantılarla ilgili verilerin üçlü izolasyonunu uygulayarak uzun yıllardır süregelen bir gizlilik açığını kapatacak. Bu, sitelerin :visited seçicisi aracılığıyla kullanıcıların gezinme geçmişini izlemesini engelleyecek.
Google, yıllardır sitelerin daha önce açılmış bağlantılar aracılığıyla kullanıcıların ziyaret geçmişini belirlemesine olanak tanıyan eski bir gizlilik sorununu çözüyor.
Sorun, sitelerin bağlantıları :visited olarak biçimlendirebilmesi, yani kullanıcı bu bağlantılara daha önce tıkladıysa bunları farklı bir renkte (örneğin mavi yerine) gösterebilmesinden kaynaklanıyor.
Tarayıcı, kullanıcının hangi sitede bağlantıya tıkladığından bağımsız olarak bağlantının rengini değiştiriyor, bu da diğer sitelerin özel komut dosyaları kullanarak ziyaret geçmişini “sızdırmasına” olanak tanıyor.
Bu sadece teorik bir gizlilik tehdidi değil. Sorun, kullanıcı davranışlarını izleme, profil oluşturma ve hatta kimlik avı saldırılarında güvenlik açığı kullanma gibi gerçek güvenlik riskleri oluşturuyor.
Daha önce araştırmacılar, zamanlama tabanlı, piksel tabanlı, kullanıcı etkileşimi tabanlı ve hatta süreç düzeyinde saldırılar dahil olmak üzere bu güvenlik açığını kullanan saldırıları zaten göstermişlerdi.
Google, Chrome 136’nın yeni sürümünde, ziyaret edilen bağlantılarla ilgili veriler için üçlü izolasyon uygulayarak bu sorunu düzeltti.
Verileri genel olarak depolamak yerine, artık ziyaret edilen her bağlantı üç anahtara göre izole edilecek:
- Bağlantı URL’si
- Ana site (adres çubuğundaki alan adı)
- Çerçeve kaynağı (içeriğin yüklendiği yer)
Bu, bir bağlantının yalnızca kullanıcı aynı sitede ve aynı kaynaktan tıkladıysa :visited olarak görüntüleneceği anlamına gelir; bu da siteler arası geçmiş sızıntısını tamamen ortadan kaldırır.
Sitelerin alışılmış mantığını bozmamak için Google bir istisna ekledi: Kullanıcı bir site içindeki bir bağlantıya tıkladıysa, başlangıçta başka bir kaynaktan açılmış olsa bile, bu siteyi tekrar ziyaret ettiğinde ziyaret edilmiş olarak kabul edilecektir.
:visited seçicisinin tamamen kaldırılması düşünülmedi, çünkü bu kullanıcı deneyimini kötüleştirirdi. İzin tabanlı bir model de potansiyel olarak güvensiz ve kolayca atlatılabilir olduğu için reddedildi.
Korumayı Etkinleştirme
Yeni izolasyon sistemi, Chrome 132’de deneysel bir özellik olarak ortaya çıktı ve 136 sürümünden itibaren varsayılan olarak etkin olacak.
Chrome’un 132-135 sürümlerinden birini kullanıyorsanız, özelliği manuel olarak etkinleştirebilirsiniz.
Adres çubuğuna şunu yazın:
chrome://flags/#partition-visited-link-database-with-self-links
“Partition the Visited Link Database, including ‘self-links'” (Ziyaret Edilen Bağlantı Veritabanını Bölümlendir, ‘kendine bağlantılar’ dahil) seçeneğini “Enabled” (Etkin) olarak ayarlayın.
Bu özelliğin henüz kararlı olmadığını ve bazı durumlarda düzgün çalışmayabileceğini unutmayın.
Diğer popüler tarayıcılarda sorun tam olarak çözülmedi:
- Firefox, :visited için stilleri sınırlar ve JavaScript aracılığıyla okunmasını engeller, ancak sitelere göre izolasyon uygulanmaz.
- Safari, agresif bir gizlilik koruması (Intelligent Tracking Prevention) kullanır, bu da kısmen yardımcı olur, ancak tüm saldırı türlerini engelleyen tam bir ayrım henüz yoktur.
Chrome 136’nın 23 Nisan 2025’te yayınlanması bekleniyor.
