Google chuẩn bị phát hành bản cập nhật Chrome 136 nhằm xử lý một vấn đề nghiêm trọng về quyền riêng tư đã tồn tại từ hơn hai thập kỷ – cho phép các website khai thác thông tin về lịch sử truy cập của người dùng thông qua cơ chế hiển thị liên kết đã truy cập
Cơ chế :visited trong trình duyệt cho phép các trang web thay đổi giao diện hiển thị của liên kết nếu người dùng đã từng truy cập liên kết đó trước đây (ví dụ: đổi màu từ xanh sang tím). Tuy nhiên, cơ chế này áp dụng toàn cục – bất kỳ trang web nào cũng có thể kiểm tra trạng thái :visited của một URL, bất kể người dùng đã truy cập nó từ đâu.
Cơ chế này bị lợi dụng trong các kỹ thuật như timing attack, pixel-based detection hoặc process-level inspection để thu thập thông tin lịch sử duyệt web. Điều này cho phép các website không đáng tin cậy xây dựng hồ sơ hành vi người dùng, hỗ trợ giám sát trái phép hoặc lừa đảo qua hình thức phishing.
Bắt đầu từ Chrome 136, trạng thái :visited sẽ được cô lập thông qua cơ chế phân vùng ba lớp – bao gồm URL của liên kết, domain của trang mẹ (top-level site) và frame origin. Việc này đảm bảo một liên kết chỉ hiển thị là “đã truy cập” trong đúng ngữ cảnh mà người dùng đã click trước đó, ngăn chặn hoàn toàn khả năng dò lịch sử truy cập giữa các site khác nhau.
Để duy trì tính khả dụng, Chrome vẫn cho phép một số liên kết nội bộ trong cùng một website được đánh dấu là đã truy cập – ngay cả khi người dùng truy cập từ nguồn ngoài. Google khẳng định không thể loại bỏ selector :visited hoàn toàn, vì điều đó ảnh hưởng tiêu cực đến trải nghiệm người dùng.
Tính năng cô lập :visited hiện đã có dưới dạng thử nghiệm từ Chrome 132 và sẽ được bật mặc định từ Chrome 136. Người dùng phiên bản 132–135 có thể tự bật tại đường dẫn chrome://flags/#partition-visited-link-database-with-self-links. Trong khi đó, các trình duyệt khác như Firefox và Safari đã áp dụng một số biện pháp giới hạn, nhưng chưa có cơ chế phân vùng tương tự, dẫn đến rủi ro vẫn còn hiện diện ở mức độ nhất định.
