Mimo zabezpieczeń Google witryny nadal wiedzą, czy używamy trybu Incognito

Mimo zabezpieczeń Google witryny nadal wiedzą, czy używamy trybu Incognito

 Krzysztof Sulikowski
Krzysztof Sulikowski
18:15
09.08.2019
469 wyświetleń

W zeszłym miesiącu Google obiecywał zamknąć lukę w API FileSystem, wykorzystywaną przez strony do rozpoznawania, czy użytkownik odwiedza je w trybie Incognito. Poprawki zostały wprawdzie zaimplementowane, ale okazują się nie do końca skuteczne. Przykładowo witryna New York Times w jakiś sposób nadal może wykryć tryb prywatny - zwłaszcza gdy użytkownik dochodzi do jej paywallów.

Jak to w ogóle możliwe? Badacze zabezpieczeń - Vikas Mishra i Jesse Li - odkryli, w jaki sposób witryny obchodzą zabezpieczenia Google. Wcześniej sprawdzały one, czy żądanie zapisu bezpośrednio na dysku użytkownika, kierowane do API Filesystem, zwracało błąd. Wskazywało to, że przeglądamy w Incognito. Google naprawił to, nakazując Chrome zapisywać dane do RAM i zaraz po tym je czyścić.

Witryny mogą jednak używać API Quota Management, by exploitować różnice w sposobie przechowywania tymczasowego między trybem Incognito a zwykłym przeglądaniem. Analogicznie strony mogą też śledzić prędkość zapisywania, by wykryć, czy dane są zapisywane na dysku twardym, czy też w pamięci RAM, jako że ten drugi sposób zapisu jest znacznie szybszy. Sposoby te są co prawda niebezpośrednie i strony jedynie zgadują, z jakim trybem mają do czynienia, jednak ich przewidywania okazują się często trafne.

Ogłaszając prace nad poprawką, Google obiecało potraktować prywatność użytkowników w sposób priorytetowy, a także na bieżąco udoskonalać tryb Incognito. Firma słowa dotrzymała, ale przed nią jeszcze sporo pracy, by użytkownicy mogli rzeczywiście zachować prywatność na stronach.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://www.neowin.net/news/websites-can-still-detect-if-youre-using-incognito-mode-despite-googles-protections

Polecamy również w kategorii Google