信息來源:hackernews
針對啟用了無痕模式的 Chrome 用戶仍會被不守規(guī)矩的網(wǎng)站強(qiáng)行檢測一事,谷歌方面已經(jīng)修復(fù)了一處漏洞。尷尬的是,這場利益攻防戰(zhàn)并沒有就此結(jié)束,因?yàn)槁斆鞯木W(wǎng)站仍會通過其它方法來檢測 Chrome 76 是否啟用了隱私瀏覽模式。其實(shí) Chromium 團(tuán)隊(duì)自身也意識到存在這種可能,畢竟瀏覽器還提供了一些其它必要的應(yīng)用程序接口(API)。
(題圖 via Techdows)
默認(rèn)情況下,Google 會在 Chrome 瀏覽器啟用無痕模式時(shí)禁用文件系統(tǒng) API,以防止將瀏覽歷史記錄保存到磁盤上。
反之,網(wǎng)站可以通過 Filesystem API,對用戶瀏覽器的當(dāng)前模式進(jìn)行判斷。然后強(qiáng)行要求用戶登錄或創(chuàng)建免費(fèi)賬戶,以繼續(xù)瀏覽完整的內(nèi)容。
在意識到這個漏洞之后,谷歌引入了一個新的標(biāo)記(flag),以便在無痕模式下啟用 了 FileSystem API,Chrome 76 中已經(jīng)默認(rèn)打開。
谷歌在一篇博客文章中寫到,其已經(jīng)修復(fù)了某些網(wǎng)站不當(dāng)利用 FileSystem API 的一個漏洞。
遺憾的是,即便急用了這個標(biāo)記,《紐約時(shí)報(bào)》網(wǎng)站仍會檢測到該模式是否已開啟(如上圖所示)。
近日有一位安全研究人員透露,Chrome 瀏覽器未能真的做到應(yīng)對無痕模式的檢測防御,因?yàn)榫W(wǎng)站仍可通過 Quota Management API 來檢測。
另一位名叫 Jesse Li 的開發(fā)者,更是給出了一個技術(shù)概念驗(yàn)證,表明網(wǎng)站仍可通過評估 Filesystem API的 寫入速度,來檢測無痕模式。
當(dāng)然,Chromium 開發(fā)團(tuán)隊(duì)仍可通過其它措施,來修復(fù)針對 Chrome 無痕模式的反向檢測,比如可從配額和計(jì)時(shí)方面著手。