針對啟用了無痕模式的 Chrome 使用者仍會被不守規矩的網站強行檢測一事,谷歌方面已經修復了一處漏洞。
尷尬的是,這場利益攻防戰並沒有就此結束,因為聰明的網站仍會透過其它方法來檢測 Chrome 76 是否啟用了隱私瀏覽模式。
其實 Chromium 團隊自身也意識到存在這種可能,畢竟瀏覽器還提供了一些其它必要的應用程式介面(API)。
(題圖 via Techdows)
預設情況下,Google 會在 Chrome 瀏覽器啟用無痕模式時禁用檔案系統 API,以防止將瀏覽歷史記錄儲存到磁碟上。
反之,網站可以透過 Filesystem API,對使用者瀏覽器的當前模式進行判斷。然後強行要求使用者登入或建立免費賬戶,以繼續瀏覽完整的內容。
在意識到這個漏洞之後,谷歌引入了一個新的標記(flag),以便在無痕模式下啟用 了 FileSystem API,Chrome 76 中已經預設開啟。
谷歌在一篇部落格文章中寫到,其已經修復了某些網站不當利用 FileSystem API 的一個漏洞。
遺憾的是,即便急用了這個標記,《紐約時報》網站仍會檢測到該模式是否已開啟(如上圖所示)。
近日有一位安全研究人員透露,Chrome 瀏覽器未能真的做到應對無痕模式的檢測防禦,因為網站仍可透過 Quota Management API 來檢測。
另一位名叫 Jesse Li 的開發者,更是給出了一個技術概念驗證,表明網站仍可透過評估 Filesystem API的 寫入速度,來檢測無痕模式。
當然,Chromium 開發團隊仍可透過其它措施,來修復針對 Chrome 無痕模式的反向檢測,比如可從配額和計時方面著手。
針對啟用了無痕模式的 Chrome 使用者仍會被不守規矩的網站強行檢測一事,谷歌方面已經修復了一處漏洞。
尷尬的是,這場利益攻防戰並沒有就此結束,因為聰明的網站仍會透過其它方法來檢測 Chrome 76 是否啟用了隱私瀏覽模式。
其實 Chromium 團隊自身也意識到存在這種可能,畢竟瀏覽器還提供了一些其它必要的應用程式介面(API)。
(題圖 via Techdows)
預設情況下,Google 會在 Chrome 瀏覽器啟用無痕模式時禁用檔案系統 API,以防止將瀏覽歷史記錄儲存到磁碟上。
反之,網站可以透過 Filesystem API,對使用者瀏覽器的當前模式進行判斷。然後強行要求使用者登入或建立免費賬戶,以繼續瀏覽完整的內容。
在意識到這個漏洞之後,谷歌引入了一個新的標記(flag),以便在無痕模式下啟用 了 FileSystem API,Chrome 76 中已經預設開啟。
谷歌在一篇部落格文章中寫到,其已經修復了某些網站不當利用 FileSystem API 的一個漏洞。
遺憾的是,即便急用了這個標記,《紐約時報》網站仍會檢測到該模式是否已開啟(如上圖所示)。
近日有一位安全研究人員透露,Chrome 瀏覽器未能真的做到應對無痕模式的檢測防禦,因為網站仍可透過 Quota Management API 來檢測。
另一位名叫 Jesse Li 的開發者,更是給出了一個技術概念驗證,表明網站仍可透過評估 Filesystem API的 寫入速度,來檢測無痕模式。
當然,Chromium 開發團隊仍可透過其它措施,來修復針對 Chrome 無痕模式的反向檢測,比如可從配額和計時方面著手。