Cyberthreat.id – Perusahaan raksasa internet, Google, mengubah cara kerja komponen inti dari peramban webnya, Chrome, untuk menambah perlindungan privasi bagi pengguna.

Dikenal dengan “HTTP Cache” atau “Shared Cache”, komponen Chrome ini bekerja untuk menyimpan salinan sumber daya yang dimuat di halaman web, seperti gambar, file CSS, dan file JavaScript.

Cara kerja sederhananya begini: ketika pengguna mengunjungi kembali situs web yang sama atau mengunjungi situs web lain—di mana file sama digunakan, Chrome akan memuatnya dari cache internal ketimbang membuang waktu untuk mengunduh ulang setiap file dari awal.

“Komponen ini ada tidak hanya di dalam Chrome, tetapi juga di dalam semua peramban web sejak masa awal internet, di mana berfungsi sebagai fitur penghemat bandwidth,” demikian seperti dikutip dari ZDNet, portal berita cybersecurity, diakses Senin (12 Oktober 2020).

Di semua browser, sistem cache biasanya bekerja dengan cara yang sama. Setiap file gambar, CSS, atau JS yang disimpan dalam cache menerima kunci penyimpanan yang biasanya merupakan URL sumber daya.

Misalnya, kunci penyimpanan untuk gambar akan menjadi URL gambar itu sendiri, contoh: https: //x.example/doge.png.

Saat memuat halaman baru, browser akan mencari kunci (URL) di dalam basis data cache internalnya dan melihat apakah perlu men-download gambar atau memuatnya dari cache.

Sistem lama disalahgunakan

Sayangnya, selama bertahun-tahun, perusahaan periklanan dan analitik web menyadari bahwa fitur yang sama ini juga dapat disalahgunakan untuk melacak pengguna.

“Namun, waktu yang dibutuhkan situs web untuk merespons permintaan HTTP dapat mengungkapkan, bahwa browser telah mengakses sumber daya yang sama di masa lalu, yang membuka browser untuk serangan keamanan dan privasi," Eiji Kitamura, Advokat Pengembang di Google.

Kondisi itu termasuk disalahgunakan:

• Mendeteksi jika pengguna telah mengunjungi situs web tertentu: penyerang dapat mendeteksi riwayat penjelajahan pengguna dengan memeriksa apakah cache memiliki sumber daya yang mungkin khusus untuk situs web atau kelompok situs web tertentu.
• Serangan Cross-site search: penyerang dapat mendeteksi string arbitrer (mana suka) ada di hasil penelusuran pengguna dengan memeriksa apakah gambar “no search resulit” yang digunakan oleh situs web tertentu ada di cache browser.
• Pelacakan Cross-site: Cache dapat digunakan untuk menyimpan pengenal seperti cookie sebagai mekanisme pelacakan cross-site.

Namun, di Chrome 86, dirilis awal pekan lalu, Google telah meluncurkan perubahan penting pada mekanisme ini.

Dikenal sebagai "partisi cache", fitur ini bekerja dengan mengubah cara sumber daya disimpan dalam “HTTP cache” berdasarkan dua faktor tambahan. Mulai sekarang, kunci penyimpanan sumber daya akan berisi tiga item, bukan satu, seperti berikut ini:

• Domain situs weblevel teratas (http: //a.example)
• Bingkai sumber daya saat ini (http: //c.example)
• URL sumber daya (https: //x.example/doge.png)

Dengan menambahkan kunci tambahan ke proses pemeriksaan pra-pemuatan cache, Chrome telah secara efektif memblokir semua serangan sebelumnya terhadap mekanisme cache, karena sebagian besar komponen situs web hanya akan memiliki akses ke sumber daya mereka sendiri dan tidak akan dapat memeriksa sumber daya yang tidak mereka miliki. menciptakan diri mereka sendiri.[]