Chris Blizzard z Mozilli zapowiedział, że aby zapobiec takim atakom, w Firefoksie zostanie zmieniony sposób obsługi felernego selektora. Wprowadzone zmiany będą miały wpływ na strony internetowe i deweloperów, dlatego warto się z nimi zapoznać już teraz:

• Metody takie jak getComputedStyle() będą kłamały, zwracając wartości takie, jakby użytkownik nigdy danej strony nie odwiedził.

• Ograniczona zostanie lista własności, które można wykorzystać do stylizowania odwiedzonych linków. Dostępne będą tylko takie własności jak color, background-color, border-*-color i outline-color, oraz związane z kolorem formy własności takich jak fill i stroke. Dla każdego innego stylu zostaną użyte własności przypisane nieodwiedzonym linkom. Nie będzie można też ustawiać dla wspomnianych własności wartości transparent i kolorów za pomocą rgba() i hsla().

• Przy wykorzystaniu selektora rodzeństwa (np. :visited + span), span zostanie wystylizowany jak dla nieodwiedzonego linku.

• Przy wykorzystaniu zagnieżdżonych linków, gdy dopasowany element jest różny od linku, którego obecność w historii jest testowana, to element zostanie narysowany tak, jakby również był nieodwiedzony.

Zmiany te nie będą wymagały większych interwencji w kodzie strony. Według Mozilli dwie poprawki wymuszają jednak dodatkową pracę ze strony projektantów:

• Wykorzystanie obrazków tła do stylizacji linków i wskazania, że zostały odwiedzone, nie będzie już działało.

• Przestaną też działać efekty przejścia (transitions) dla CSS, związane ze stanem odwiedzenia strony.

Więcej informacji można znaleźć na stronie blog.mozilla.com/security/2010/03/31/plugging-the-css-history-leak/.

Źródło: hacks.mozilla.org