谷歌方案在Chrome *** 阅览器中添加一项新的安全功用，指在阻挠潜在的进犯者经过乱用阅览器的HTTP缓存发动旁道进犯并盯梢用户活动。 新功用经过top frame origin（或subframe origin）标识对HTTP缓存进行分区，然后阻挠document感知到跨域资源的缓存状况。 这种办法能够避免进犯者使用他们操控的歹意站点建议旁道进犯，以检测他们的方针拜访过的另一个站点是否在他们的Web阅览器缓存中。 依据“分区HTTP缓存”安全功用的Chrome途径状况条目，缓存进犯或许会触发以下类型的信息走漏： · 检测用户是否拜访过特定站点：假如缓存的资源只存在于特定站点或特定群组的站点，则进犯者能够经过查看缓存中是否含有该资源来检测用户的阅览前史记载。 · 跨站点搜索进犯：当搜索成果为空时，一些站点（gmail、谷歌搜索）会加载特定图画。这也验证了跨站点搜索进犯的可行性。经过翻开选项卡并履行搜索，然后在缓存中查看该图画，进犯者能够检测搜索成果中是否存在恣意字符串。 阅览器的缓存还能够用作用户识别办法，办法是存储跨站点超级cookie，这些超级cookie要求方针彻底铲除阅览器的缓存后才可删去cookie。 进犯乱用Chrome的HTTP缓存 这个依据HTTP缓存的进犯示例显现了不良行为者怎么经过乱用Google易受进犯的端点来轻松搜集Chrome用户的灵敏信息。记载下这一特定进犯的研究人员解释道：“这种进犯的影响可大可小，关键是黑客检索了用户个人图书集仍是一个字节一个字节获取很多用户的联系方式。” 易受进犯的网站包含谷歌邮件、谷歌搜索、谷歌图书和YouTube。在阅览过这些Google网站后拜访歹意网站的用户或许会走漏其灵敏信息。 进犯者进行旁道缓存进犯时可获取的用户数据类型包含: · 搜索前史，观看过的视频 · 拜访过的切当网址 · 活动的时刻规模 · 私家图书保藏 · 图书阅览记载/图书购买记载/书签记载/图书保藏记载等 · 私家电子邮件 · 代币/信用卡号码/ *** 号码等 · 邮件收发频率 · 邮件来往方信息 · 联系人（包含电子邮件地址、名字、 *** 号码） · 私家笔记 · 保藏的网站 · 其他信息等 削弱缓存进犯，需求做出的改动 依据该功用的设计规范，“解决方案是经过页面的top-frame origin（例如，多功用框中显现的内容）或top-frame与sub-frame的组合来区分磁盘缓存。这样的话，某处加载的资源就无法被读取了。” 用于缓存阻隔和缓存进犯缓解的或许解决办法有： · （top frame origin，恳求URL）作为双键 · （frame origin，恳求URL）作为双键 · （top frame origin+frame origin，恳求URL）作为三键 Chrome开发人员现在已提出“将top-frame-origin标识于sub-resource恳求和document发动器上，来应对同享端或服务器端的恳求”作为首选解决方案，但他们仍在搜集更多数据以做出终究决议方案。 “因为忧虑缓存命中率会大幅下降，导致 *** 使用量大幅添加，页面加载时刻过长，Chrome过往并未处理此问题，”Google软件工程师Shivani Sharma在该功用的 HTTP缓存要挟模型文档中如此描述。 “最近在金丝雀版别和开发途径的试验标明，与咱们之前的主意相反，处理该问题带来的相应丢失是能够被承受的。” 方案完成的HTTP缓存分区功用的终究方针是“阻挠document感知到跨域资源的缓存状况，”Sharma弥补道。 在所有干流阅览器中，Safari是仅有一个现已完成此功用的阅览器，其详细版别在六年前就已发布，Mozilla则现已标明它揭露支撑新的安全增强功用，而微软没有泄漏任何其在Edge阅览器中完成缓存分区的意向。