谷歌浏览器的最新更新正在接受审查,因为它可能成为主要的隐私问题。
Chrome 80 实现了一种称为 ScrollToTextFragment 的新浏览器功能,可实现对 Web 文档的深度链接。 ScrollToTextFragment 允许 Google 链接单个文本单词及其在页面上的位置。
你可能会想——“谷歌不是已经这样做了吗?”
是的,确实如此,但此功能始终依赖于网站所有者创建的锚点。 ScrollToTextFragment 不需要锚点,这意味着任何人都可以创建指向文档中特定文本的链接。
谷歌提供以下 例子:
“例如,网址:
[ islands, birds can contribute as much as 60% of a cat’s diet]
这会加载 Cat 的页面,突出显示指定的文本,然后直接滚动到它。”
谷歌声称这很有帮助,因为它“将允许链接创建者指定页面的哪个部分是有趣的,而不依赖于作者注释。”
有什么顾虑?
虽然 ScrollToTextFragment 确实很有用,但隐私专家认为它也可以被利用。
Brave Browser 的隐私研究员 Peter Snyder 在一份声明中表示 福布斯:
“考虑这样一种情况,我可以查看 DNS 流量(例如公司网络),然后我发送一个指向公司健康门户的链接,其中 [the anchor] #:~:text=癌症。 在某些页面布局上,我也许可以 [to] 通过查找被请求的页面较低的资源来判断员工是否患有癌症。”
斯奈德在一条推文中强调了这一论点,他说 ScrollToTextFragment 越过了一条永远不应该越过的线:
对现有网站(其中许多永远不会更新)施加隐私和安全漏洞真的应该是“不要破坏网络”,永远不要越过红线。 这个规范就是这样做的。
— pes (@pes10k) 2020 年 2 月 18 日
在 Chrome 80 发布之前就提出了隐私问题,但无论如何它仍然发货。 在发布前对 Github 的评论中,Mozilla 的 David Baron 声明:
“我在这里的高级观点是,这是一个非常有价值的功能,但它也可能是所有可能的解决方案都存在重大问题/问题的功能。 所以我认为我们应该考虑的问题是这里选择的解决方案的问题与其他选项的问题相比如何,以及它们与功能的价值相比如何。”
在同一个 Github 线程中,Chromium 工程师 David Bokan 说 讨论了安全问题,但决定不选择加入 ScrollToTextFragment。 将来可能会引入退出选项:
“。 我们与我们的安全团队讨论了这个问题和其他问题,总而言之,我们理解这个问题,但在严重性上存在分歧,所以我们继续允许这个而不需要选择加入(尽管我们仍在努力添加一个选择加入/退出)。”
目前,仅 Chrome 浏览器支持 ScrollToTextFragment。
