Google改變了Chrome瀏覽器的一個核心組件的工作方式,以便為用戶增加額外的隱私保護。這個Chrome瀏覽器組件被稱為HTTP緩存或共享緩存,它的工作原理是保存網頁上加載的資源副本,如圖片、CSS文件和JavaScript文件。
其想法是,當用戶再次訪問同一網站或訪問使用相同文件的其他網站時,Chrome將從其內部緩存中加載這些文件,而不是浪費時間重新下載每個文件。
這個組件不僅存在於Chrome瀏覽器內部,而且從網際網路早期開始就存在於所有的網絡瀏覽器內部,作為一種節省帶寬的功能。在所有的瀏覽器中,緩存系統通常以同樣的方式工作。每個保存在緩存中的圖片、CSS或JS文件都會收到一個存儲密鑰,這個密鑰通常是資源的URL。
例如,圖像的存儲密鑰就是圖像URL本身:https://x.example/doge.png,當瀏覽器加載一個新的頁面時,它會在其內部的緩存資料庫中搜索該鍵(URL),並查看是否需要下載圖片或從緩存中加載。
不幸的是,這些年來,網絡廣告和分析公司意識到,這個功能也可以被濫用來追蹤用戶。檢測用戶是否訪問過某個特定網站。商業上的競爭者可以通過檢查緩存中是否有可能是特定網站或特定網站群的資源,來檢測用戶的瀏覽歷史,緩存還可以用來存儲類似cookie的標識符,作為跨站跟蹤機制。
但隨著本周早些時候發布的Chrome 86,谷歌推出了對這一機制的重要改變。
這個功能被稱為 "緩存分區",它的工作原理是根據兩個額外的因素來改變HTTP緩存中資源的保存方式。從現在開始,一個資源的存儲鍵將包含三個項目,而不是一個。
頂級網站域名(http://a.example)
該資源的當前框架(http://c.example)
該資源的網址(https://x.example/doge.png)
通過在緩存預加載檢查過程中增加額外的密鑰,Chrome有效地阻止了過去所有針對其緩存機制的攻擊,因為大多數網站組件將只能訪問自己的資源,而無法檢查自己沒有創建的資源。
不過,在一些場景下,緩存可能會出現交集,但攻擊面遠比以前小。
谷歌從2019年9月發布的Chrome 77開始就一直在測試緩存分區,並表示新系統不會對用戶或開發者產生任何影響。唯一會看到變化的是網站所有者,他們最有可能觀察到網絡流量增加約4%。
緩存分區目前只在Chrome瀏覽器中活動,但基於Chromium開原始碼的其他瀏覽器也可以使用,所有這些瀏覽器最有可能在接下來的幾個月內也部署它。其中包括Edge、Brave、Opera、Vivaldi等。
Mozilla也宣布了類似的計劃,將實現Chrome的緩存分區機制,但目前還沒有截止日期,何時能登陸Firefox。
另一家主要的瀏覽器廠商蘋果,從2019年初開始就一直在使用有限的緩存分區系統。然而,Safari的緩存分區系統只使用了兩項檢查(#1和#3),而不是Chrome更徹底的三項檢查。