Пожалуйста, рассмотрите возможность включения chrome: // flags / # уменьшенный -referrer-granularity и chrome: // flags / # prefetch -privacy-changes по умолчанию. Первое связано исключительно с конфиденциальностью, я не знаю, делаете ли вы что-то подобное. Последний предотвращает утечку данных, как описано здесь:
https://terjanq.github.io/Bug-Bounty/Google/cache-attack-06jd2d2mz2r0/index.html
Вот «Намерение реализовать» в Chromium:
https://groups.google.com/a/chromium.org/forum/#!topic/blink -dev / bSMOY-evrV4
Я поднял ту же проблему в репозитории браузера Brave, в результате чего флаги были включены по умолчанию:
https://github.com/brave/brave-browser/issues/8319
Я также поднимал эту проблему в репозиториях Vanadium и Ungoogled Chromium (все еще на рассмотрении):
https://github.com/Eloston/ungoogled-chromium/issues/1117
https://github.com/GrapheneOS/Vanadium/issues/71
Спасибо за Ваше внимание.
@ Peacock365, поскольку вы использовали шаблон
@ csagan5
_Я добавляю шаблон задачи сейчас, хотя должен сказать, что сознательно отказался от него, поскольку в данном случае он не добавляет никакой ценной информации. Но в любом случае вот она: _
Я поискал в системе отслеживания проблем, в FAQ и ReadMe.
### Связан ли ваш запрос функции с конфиденциальностью?
да.
### Есть ли где-нибудь патч для этой функции?
Brave исправил это, но точный патч не может быть повторно использован для Bromite.
### Опишите желаемое решение
Включите chrome: // flags / # уменьшенный -referrer-granularity и chrome: // flags / # prefetch -privacy-changes по умолчанию.
### Опишите альтернативы, которые вы рассмотрели
Оставив их по умолчанию / отключено, с потерей конфиденциальности. Однако это не совсем альтернатива, учитывая, что цель здесь - улучшить конфиденциальность. Если их не включить, это также означает, что эта проблема УСТРАНЯЕТСЯ WONTFIX автоматически.
Мне кажется, что риск совместимости здесь невелик, как отметили разработчики Brave. Однако выигрыш в конфиденциальности здесь значительный, поскольку включение этих двух флагов приведет к лучшей политике заголовка реферера и предотвратит утечку произвольных объемов информации в случае, если кэш будет целевым.
Я сознательно отказался от этого, поскольку в данном случае он не добавляет никакой ценной информации.
Шаблоны необходимы для организации системы отслеживания проблем; шаблон, который вы использовали для Brave, предназначен для отчета об ошибке, а здесь у нас также есть шаблон для запроса функции.
Я рассмотрю возможность включения этих двух в следующий выпуск.
Исправлено в 84.0.4147.106
.
Самый полезный комментарий
Исправлено в
84.0.4147.106
.