« Mozilla Labs выпустила Contacts 0.2В ночные сборки добавлена возможность для изменения размеров текстового поля »

Грядущие изменения в работе CSS :visited в связи с приватностью

Постоянная ссылка 1.04.10 04:01, от xpilot, Рубрики: Без рубрики , Теги: :visited, css, javascript, mozilla hacks, безопасность, перевод, приватность

Ссылка: http://hacks.mozilla.org/2010/03/privacy-related-changes-coming-to-css-vistited/

Для большей информации о том, что происходит, смотрите сообщение от David Baron, баг в багтрекере и сообщение в security blog

В течение многих лет, селектор CSS :visited был вектором для запроса истории посещений пользователя. Само по себе, это не очень опасно, но в комбинации с функцией JavaScript getComputedStyle() это означает, что кто-то может пройтись по вашей истории и понять, что вы посещали. К тому же, это быстро - некоторые тесты показывают возможность проверки 210000 URL'ов в минуту. На такой скорости, становится возможным проверить большой объем вашей истории методом грубой силы или по крайней мере, установить вашу личность с помощью цифровых отпечатков. Учитывая, что браузеры часто хранят историю длительное время, это может раскрыть то, какие места в сети вы посещали.

Мы, в Mozilla, серьезно настроены по отношению к обеспечению частной жизни людей, поэтому мы находимся в процессе исправления этой проблемы для наших пользователей. Для того, чтобы это выполнить, мы изменим то, как будет работать :visited в Firefox. Мы пока не решили с какой версии браузера данные исправления будут поставляться и патчи в настоящее время еще проходят через ревью кода, но мы хотели объявить об этом людям как только мы осознали как мы хотим это исправить.

Эти изменения затронут сайты и разработчиков, поэтому вам следует их опасаться. Вот то, что изменится на высоком уровне:

  • getComputedStyle (и подобные функции, как querySelector) будут лгать. Они будут всегда возвращать значения даже если пользователь никогда не посещал сайт.
  • У вас будет сохраняться возможность изменять стиль посещенных ссылок, но вы будете сильно ограничены в том, что вы сможете сделать. Мы ограничим свойства CSS, которые могут быть использованы для изменения стиля посещенных ссылок до color, background-color, border-*-color и outline-color, а также части отвечающие за цвет в свойствах fill и stroke. Для любых других частей стиля посещенных ссылок, используется стиль для не посещенных ссылок. В добавление к списку свойств вы можете изменить выше, вы не сможете назначить rgba() или hsla() цвета или transparent на них.

Это довольно очевидные случаи, которые широко используются. Также будет существовать два тонких изменения в том, как селекторы будут работать:

  • Если вы используете одиночный селектор (комбинатор), как :visited + span, то тогда к span будет применен стиль, как если бы ссылка была не посещена.
  • Если вы используете вложенные ссылочные элементы (что довольно редко) и элемент совпал с отличающейся ссылкой, которая есть в истории и тестируется, тогда элемент будет отрисован как если бы ссылка не была посещена.

Последние два случая обычно смущают, поэтому мы сделаем примеры и покажем их в отдельной публикации.

Воздействие на веб разработчиков здесь должно быть минимальным, и это часть нашего замысла. Но существует пара мест, которые потребуют внести изменения на сайты:

  • Если вы используете фоновые изображения для оформления ссылок и показываете то, что они были посещены, то это больше не будет работать.
  • Мы не будем поддерживать CSS Transitions, которые относятся к "посетительству". В вебе не очень много контента, использующего CSS Transition, поэтому вряд ли, что это затронет очень большое количество людей. Но это все равно останется ничем иным, как другим вектором атаки, который мы не будем поддерживать.

Мы бы хотели услышать от вас больше о том, как вы используете CSS :visited и как эти изменения повлияют на ваш сайт. Если мы увидим что-то, что приведет к поломке, то мы бы хотели, по крайней мере, задокументировать это. Пожалуйста, оставьте здесь комментарий с большей информацией, чтобы другие тоже могли ее увидеть.

Автор: Christopher Blizzard.

 

Оставить комментарий »

Отзыв ожидает одобрения модератора

Эта запись имеет 11 отзывов, ожидающих модерации...

Оставить комментарий


Ваш email адрес не будет показан на сайте.

Ваш URL будет показан.
(Заменить прерывания строк на <br />)
(Имя, email и сайт)
(Разрешить пользователям посылать вам сообщения (ваш email не отображается).)
Декабрь 2019
Пн Вт Ср Чт Пт Сб Вс
 << <   > >>
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31          

Поиск

blog software