روش جدید گوگل کروم برای محافظت از اطلاعات کاربران

گوگل با هدف افزایش امنیت حریم خصوصی کاربران، عملکرد یکی از بخش‌های اصلی مرورگر خود را تغییر داده است. این بخش که به حافظه پنهان HTTP یا حافظه پنهان مشترک معروف است، با ذخیره نسخه‌هایی از منابع بارگیری‌شده در صفحه وب، مانند تصاویر و فایل‌های CSS و jаvascript کار می‌کند.

ایده وجود چنین قسمتی در کروم این است که وقتی کاربران دوباره به یک صفحه سر می‌زنند یا در سایت دیگری همان فایل‌ها وجود دارد، به‌جای بارگیری دوباره آن‌ها از همان نسخه‌های ذخیره‌شده در حافظه پنهان داخلی استفاده شود. این کار می‌تواند تا حدودی باعث افزایش سرعت و کاهش مصرف اینترنت شود. این قابلیت از اولین روزهای خلق اینترنت، نه‌تنها در گوگل کروم، بلکه در همه مرورگرها وجود دارد و به‌عنوان خصیصه‌ای برای صرفه‌جویی در پهنای باند عمل می‌کند.

عموما در تمام مرورگرها، سیستم حافظه پنهان یکسان عمل می‌کند. هرکدام از عکس‌ها و فایل‌های CSS و JS ذخیره‌شده در حافظه پنهان کدی برای بازیابی دریافت می‌کنند که عموما URL است. برای مثال، کد ذخیره‌سازی برای یک تصویر همان URL آن است. زمانی‌که کاربر صفحه جدیدی باز می‌کند، مرورگر شروع به گشتن دنبال URL یا همان کد ذخیره‌سازی در دیتابیس حافظه پنهان می‌کند. مرورگر از این طریق متوجه می‌شود که آیا لازم است عکس را بارگیری کند یا می‌تواند از موارد ثبت‌شده در حافظه پنهان استفاده کند.

سودجویان و حافظه پنهان HTTP قدیمی

متأسفانه در طول سال‌های مختلف، شرکت‌های تبلیغاتی اینترنتی و تحلیلگران متوجه شدند از همین روش می‌توان برای ردیابی کاربران و سوءاستفاده از اطلاعات آن‌ها استفاده کرد. ایجی کیتامورا، مدافع توسعه‌دهندگان گوگل، در‌این‌باره گفت:

این مکانیزم از مدت‌ها قبل بسیار موفق عمل کرده است؛ بااین‌حال، مدتی‌ که هر وب‌سایت برای پاسخ‌گویی به درخواست‌های HTTP نیاز دارد، می‌تواند نشان دهد که مرورگر به همان منبع در گذشته دسترسی داشته است. این امر مرورگر را درمقابل حملات امنیتی سودجویان برای دستیابی به حریم خصوصی کاربران ضعیف می‌کند.

اطلاعاتی که سودجویان می‌توانند ازطریق دستیابی به حافظه پنهان به‌دست آوردند، عبارت‌اند از:

• تشخیص اینکه آیا کاربر از سایت خاصی بازدید کرده است: افراد می‌توانند با بررسی حافظه پنهان، وب‌سایتی را پیدا کنند که کاربر زیاد به آن سر زده است و از این طریق به سابقه مرور او در فضای اینترنت دسترسی داشته باشند.
• حملات Cross-Site: هکرها می‌توانند با دسترسی به داده‌های موجود در حافظه پنهان کاربران، امنیت آن‌ها را با استفاده از حملات Cross-Site به‌خطر بیندازند.
• ردیابی Cross-Site: از حافظه پنهان می‌توان برای ذخیره شناسه‌های کوکی استفاده کرد. این اطلاعات به‌عنوان مکانیزمی برای ردیابی کاربران در بین سایت‌ها شناخته می‌شوند.

بخش‌بندی حافظه پنهان در Chrome 86

با Chrome 86 که در هفته جاری منتشر شده، گوگل تغییرات بسیار مهمی در مرورگر خود ایجاد کرده است. این قابلیت جدید که Cache partitioning یا پارتیشن‌بندی حافظه پنهان نام دارد، نحوه عملکرد منابع ذخیره‌شده در کش HTTP را بر‌اساس دو عامل مهم تغییر می‌دهد. از حالا به‌بعد، تمام کلیدهای ذخیره‌سازی به‌جای یک از سه بخش تشکیل می‌شوند:

• دامنه سایت (http://a.example)
• فریم فعلی منبع (http: //c.example)
• URL منبع (https: //x.example/doge.png)

گوگل موفق شده است با اضافه‌کردن کدهای بیشتر به فرایند دخیره‌سازی فایل‌ها، به‌طرز درخور‌توجهی جلو حملات مختلف سودجویان برای به‌دست‌آوردن اطلاعات مکانیزم حافظه پنهان مرورگر خود را بگیرد. بیشتر وب‌سایت‌ها تنها می‌توانند به منابع خود دسترسی داشته باشند و کدهایی که تولید نکرده‌اند، نمی‌توانند بررسی کنند؛ به‌همین‌دلیل، دیگر خطری کاربران را تهدید نمی‌کند.

البته هنوز تمام تهدیدها از بین نرفته است. گاهی وقت‌ها، سودجویان می‌توانند از اطلاعات ذخیره‌شده در حافظه پنهان استفاده کنند؛ اما اکنون بسیار احتمال آن کمتر شده است.

استفاده از قابلیت جدید کروم در دیگر مرورگرها

گوگل از Chrome 77 که در سپتامبر سال ۲۰۱۹ عرضه شد، در حال آزمایش قابلیت مذکور است و گفته که این سیستم جدید تأثیر منفی روی کاربران یا توسعه‌دهندگان نخواهد داشت. تنها افرادی که تغییراتی مشاهده می‌کنند، صاحبان سایت‌ها هستند که با افزایش حدود ۴۰ درصدی ترافیک شبکه روبه‌رو می‌شوند.

قابلیت پارتیشن‌بندی حافظه پنهان اکنون در کروم و تمام مرورگرهای دیگری دردسترس است که براساس کد متن‌باز Chromium توسعه‌ یافته‌اند. به‌زودی، این ویژگی مفید امنیتی به مرورگرهای دیگری مانند Opera ،Edge ،Brave ،Vivaldi و دیگران می‌رسد. موزیلا نیز اعلام کرده است که برنامه‌ای مشابه‌ در دستور کار خود دارد؛ اما هنوز زمانی برای اعمال تغییرات مذکور در مرورگر این شرکت اعلام نشده است.

اپل از سال ۲۰۱۳ در مرورگر خود از قابلیت پارتیشن‌بندی مشابهی استفاده می‌کند؛ البته نسخه استفاده‌شده در مرورگر سافاری، تنها می‌تواند کدهای ذخیره‌سازی را به دو بخش تقسیم کند که ازلحاظ امنیت از قابلیت جدید کروم در سطح پایین‌تری قرار می‌گیرد.

پارتیشن‌بندی یکی از بخش‌های مهمی است که باید در مرورگرهای شرکت‌های بزرگ وجود داشته باشد؛‌ زیرا امنیت کاربران را افزایش می‌دهد. در سال‌های مختلف بارها ثابت شده است که حملات مختلفی ازطریق حافظه پنهان مرورگرها انجام می‌شود. تاکنون، اطلاعات مختلفی از کاربران مانند آدرس ایمیل، توکن، شماره‌کارت و تاریخچه مرورگر از کاربران دزدی شده است. بد نیست بدانید گوگل کاری که سال‌ها پیش برای حفظ امنیت کاربرانش باید انجام می‌داد، اکنون انجام داده است.