Considere ativar chrome: // flags / # reduced -referrer-granularity e chrome: // flags / # prefetch -privacy-changes por padrão. O primeiro é puramente relacionado à privacidade, não sei se você já está fazendo algo semelhante. Este último impede o vazamento de dados, conforme descrito aqui:
https://terjanq.github.io/Bug-Bounty/Google/cache-attack-06jd2d2mz2r0/index.html
Aqui está a "Intenção de implementar" no Chromium:
https://groups.google.com/a/chromium.org/forum/#!topic/blink -dev / bSMOY-evrV4
Eu levantei o mesmo problema no repositório do navegador Brave, com o resultado de que os sinalizadores foram ativados por padrão:
https://github.com/brave/brave-browser/issues/8319
Também levantei esse problema nos repositórios Vanadium e Ungoogled Chromium (ainda em revisão):
https://github.com/Eloston/ungoogled-chromium/issues/1117
https://github.com/GrapheneOS/Vanadium/issues/71
Obrigado pela sua atenção.
@ Peacock365 como você usou o modelo de problema para Brave, o mesmo deveria ter sido feito aqui.
@ csagan5
_Eu adiciono o modelo de problema agora, embora deva dizer que o abandonei conscientemente, uma vez que ele não adiciona nenhuma informação valiosa neste caso. Mas de qualquer maneira, aqui está: _
Eu pesquisei o rastreador de problemas, as perguntas frequentes e o Leia-me.
### Sua solicitação de recurso está relacionada à privacidade?
sim.
### Existe um patch disponível para este recurso em algum lugar?
Brave corrigiu isso, mas o patch exato não pode ser reutilizado para Bromite.
### Descreva a solução que você gostaria
Ative chrome: // flags / # reduced -referrer-granularity e chrome: // flags / # prefetch -privacy-changes por padrão.
### Descreva alternativas que você considerou
Deixando-os como padrão / desativados, com perda de privacidade. Não é realmente uma alternativa, considerando que o objetivo aqui é melhorar a privacidade, no entanto. Não ativá-los também significa que esse problema é RESOLVIDO e WONTFIX automaticamente.
Parece-me que o risco de compatibilidade aqui é baixo, como os desenvolvedores da Brave apontaram. No entanto, o ganho de privacidade aqui é considerável, já que habilitar esses dois sinalizadores introduzirá uma política de cabeçalho de referência melhor e evitará o vazamento de quantidades arbitrárias de informações no caso de o cache ser direcionado.
Eu o abandonei conscientemente, uma vez que não adiciona nenhuma informação valiosa neste caso
Os modelos são necessários para manter o rastreador de problemas organizado; o modelo que você usou para o Brave é para um relatório de bug, enquanto aqui também temos um modelo para uma solicitação de recurso.
Vou considerar habilitar esses dois para o próximo lançamento.
Fixo em 84.0.4147.106
.
Comentários muito úteis
Fixo em
84.0.4147.106
.