Google Chrome 改變緩存機制 阻止此前廣告商對其濫用

Google改變了Chrome瀏覽器的一個核心組件的工作方式，以便為用戶增加額外的隱私保護。這個Chrome瀏覽器組件被稱為HTTP緩存或共享緩存，它的工作原理是保存網(wǎng)頁上加載的資源副本，如圖片、CSS文件和JavaScript文件。

其想法是，當用戶再次訪問同一網(wǎng)站或訪問使用相同文件的其他網(wǎng)站時，Chrome將從其內(nèi)部緩存中加載這些文件，而不是浪費時間重新下載每個文件。

這個組件不僅存在于Chrome瀏覽器內(nèi)部，而且從互聯(lián)網(wǎng)早期開始就存在于所有的網(wǎng)絡(luò)瀏覽器內(nèi)部，作為一種節(jié)省帶寬的功能。在所有的瀏覽器中，緩存系統(tǒng)通常以同樣的方式工作。每個保存在緩存中的圖片、CSS或JS文件都會收到一個存儲密鑰，這個密鑰通常是資源的URL。

例如，圖像的存儲密鑰就是圖像URL本身：https://x.example/doge.png，當瀏覽器加載一個新的頁面時，它會在其內(nèi)部的緩存數(shù)據(jù)庫中搜索該鍵(URL)，并查看是否需要下載圖片或從緩存中加載。

不幸的是，這些年來，網(wǎng)絡(luò)廣告和分析公司意識到，這個功能也可以被濫用來追蹤用戶。檢測用戶是否訪問過某個特定網(wǎng)站。商業(yè)上的競爭者可以通過檢查緩存中是否有可能是特定網(wǎng)站或特定網(wǎng)站群的資源，來檢測用戶的瀏覽歷史，緩存還可以用來存儲類似cookie的標識符，作為跨站跟蹤機制。

但隨著本周早些時候發(fā)布的Chrome 86，谷歌推出了對這一機制的重要改變。

這個功能被稱為 "緩存分區(qū)"，它的工作原理是根據(jù)兩個額外的因素來改變HTTP緩存中資源的保存方式。從現(xiàn)在開始，一個資源的存儲鍵將包含三個項目，而不是一個。

頂級網(wǎng)站域名(http://a.example)

該資源的當前框架(http://c.example)

該資源的網(wǎng)址(https://x.example/doge.png)

通過在緩存預(yù)加載檢查過程中增加額外的密鑰，Chrome有效地阻止了過去所有針對其緩存機制的攻擊，因為大多數(shù)網(wǎng)站組件將只能訪問自己的資源，而無法檢查自己沒有創(chuàng)建的資源。

不過，在一些場景下，緩存可能會出現(xiàn)交集，但攻擊面遠比以前小。

谷歌從2019年9月發(fā)布的Chrome 77開始就一直在測試緩存分區(qū)，并表示新系統(tǒng)不會對用戶或開發(fā)者產(chǎn)生任何影響。唯一會看到變化的是網(wǎng)站所有者，他們最有可能觀察到網(wǎng)絡(luò)流量增加約4%。

緩存分區(qū)目前只在Chrome瀏覽器中活動，但基于Chromium開源代碼的其他瀏覽器也可以使用，所有這些瀏覽器最有可能在接下來的幾個月內(nèi)也部署它。其中包括Edge、Brave、Opera、Vivaldi等。

Mozilla也宣布了類似的計劃，將實現(xiàn)Chrome的緩存分區(qū)機制，但目前還沒有截止日期，何時能登陸Firefox。

另一家主要的瀏覽器廠商蘋果，從2019年初開始就一直在使用有限的緩存分區(qū)系統(tǒng)。然而，Safari的緩存分區(qū)系統(tǒng)只使用了兩項檢查(#1和#3)，而不是Chrome更徹底的三項檢查。