4月8日，谷歌宣布，即將發(fā)布的Chrome 136版本將徹底修復(fù)一個存在23年之久的瀏覽器歷史嗅探漏洞，標(biāo)志著瀏覽器隱私安全迎來里程碑式突破。該版本已于上周四推送至Chrome Beta測試通道，預(yù)計于4月23日正式向全球用戶發(fā)布。谷歌軟件工程師Kyra Seevers在官方博客中表示：“這是首個使此類攻擊完全失效的主流瀏覽器�！�  

瀏覽器歷史嗅探（Browser History Sniffing）是一種通過檢測網(wǎng)頁鏈接顏色推斷用戶瀏覽記錄的隱私攻擊手段。攻擊者在網(wǎng)頁中植入大量鏈接，利用瀏覽器對已訪問鏈接（通常顯示為紫色）和未訪問鏈接的渲染差異，竊取用戶的瀏覽歷史。例如，通過分析鏈接顏色，攻擊者可判斷用戶是否訪問過特定敏感網(wǎng)站，如醫(yī)療、金融或社交平臺。  

這一漏洞最早于2000年由普林斯頓大學(xué)研究人員Edward Felten和Michael Schneider在論文《Timing Attacks on Web Privacy》中提出。盡管此后多次被學(xué)術(shù)界和行業(yè)報告（如2002年Mozilla工程師提交的漏洞記錄、2009年StartPanic網(wǎng)站的公開演示），但瀏覽器廠商的局部修復(fù)始終未能徹底解決問題。  

谷歌在Chrome 136中引入了一項名為“分區(qū)訪問鏈接歷史”（Partitioned Visited Links）的創(chuàng)新技術(shù)，從根本上阻斷了歷史嗅探的可能性。其核心機(jī)制包括：三元組分區(qū)存儲：瀏覽器不再維護(hù)全局訪問記錄，而是將鏈接數(shù)據(jù)按鏈接URL、頂級域名和頁面框架來源三個維度分區(qū)存儲。嚴(yán)格匹配規(guī)則：僅當(dāng)網(wǎng)站請求的鏈接與用戶實際訪問時的完整上下文（URL+域名+框架）匹配時，瀏覽器才會返回`:visited`樣式，否則鏈接顯示為未訪問狀態(tài)。隔離攻擊路徑：攻擊者無法通過跨域或跨頁面查詢獲取用戶的全局瀏覽歷史，隱私數(shù)據(jù)被嚴(yán)格限定在原始訪問環(huán)境中。  

Seevers解釋道：“分區(qū)機(jī)制意味著您的瀏覽歷史不再是一本‘公開賬簿’，而是被分割成無數(shù)個獨立的隱私單元。”  長期關(guān)注此問題的隱私研究員Lukasz Olejnik（2010年CSS濫用論文作者之一）評價稱：“谷歌的解決方案終結(jié)了這場持續(xù)20多年的‘貓鼠游戲’，為構(gòu)建更尊重隱私的網(wǎng)絡(luò)奠定了基礎(chǔ)�！笨▋�(nèi)基梅隆大學(xué)團(tuán)隊亦表示，這是自2011年其提出歷史嗅探繞過技術(shù)以來，“最徹底的技術(shù)革新”。