Chrome начнет разделять кеш HTTP для защиты от атак и отслеживания

Google планирует добавить в свой браузер Chrome новую функцию безопасности для защиты от атак по сторонним каналам и отслеживания пользователей по кешу HTTP. Эта функция будет разделять кеш HTTP «с помощью фрейма origin (и, возможно, субфрейма origin) для того, чтобы документы из одного источника не могли определить, был ли кеширован документ из другого источника».

Благодаря этому злоумышленники больше не смогут осуществлять атаки по сторонним каналам с использованием вредоносных сайтов для определения, находится ли другой сайт, который посетила жертва, в кеше их браузера. С помощью кеша злоумышленники могут определить, посетила ли жертва определенный сайт, осуществить атаку Cross-site search (XS-search) и получить цифровые отпечатки, сохраняя файлы супер-cookie (для их удаления пользователю необходимо полностью почистить весь кеш браузера).

Google не могла решить эту проблему раньше из-за опасений, что рейтинг попаданий (hit rate) кеша существенно снизится и увеличится время загрузки страниц. Тем не менее, как показало тестирование бета-версий Chrome, снижение рейтинга попаданий оказалось намного меньшим, чем предполагалось ранее.

XS-search – атака, предполагающая обход правила ограничения домена с целью извлечения конфиденциальной информации на основании того, сколько времени необходимо браузеру для получения ответов на поисковые запросы.