Mimo zabezpieczeń Google witryny nadal wiedzą, czy używamy trybu Incognito

Data: 11.08.2019 17:01

Autor: ziemianin

centrumxp.pl

#codziennaprasowka #wiadomosci #google #Incognito #internet #google #chrome #firefox #opera

Mimo zabezpieczeń Google witryny nadal wiedzą, czy używamy trybu Incognito

Źródło: NeoWin.net – wymagany angielski

W zeszłym miesiącu Google obiecywał zamknąć lukę w API FileSystem, wykorzystywaną przez strony do rozpoznawania, czy użytkownik odwiedza je w trybie Incognito. Poprawki zostały wprawdzie zaimplementowane, ale okazują się nie do końca skuteczne. Przykładowo witryna New York Times w jakiś sposób nadal może wykryć tryb prywatny – zwłaszcza gdy użytkownik dochodzi do jej paywallów.

Jak to w ogóle możliwe? Badacze zabezpieczeń – Vikas Mishra i Jesse Li – odkryli, w jaki sposób witryny obchodzą zabezpieczenia Google. Wcześniej sprawdzały one, czy żądanie zapisu bezpośrednio na dysku użytkownika, kierowane do API Filesystem, zwracało błąd. Wskazywało to, że przeglądamy w Incognito. Google naprawił to, nakazując Chrome zapisywać dane do RAM i zaraz po tym je czyścić.

Witryny mogą jednak używać API Quota Management, by exploitować różnice w sposobie przechowywania tymczasowego między trybem Incognito a zwykłym przeglądaniem. Analogicznie strony mogą też śledzić prędkość zapisywania, by wykryć, czy dane są zapisywane na dysku twardym, czy też w pamięci RAM, jako że ten drugi sposób zapisu jest znacznie szybszy. Sposoby te są co prawda niebezpośrednie i strony jedynie zgadują, z jakim trybem mają do czynienia, jednak ich przewidywania okazują się często trafne.

Ogłaszając prace nad poprawką, Google obiecało potraktować prywatność użytkowników w sposób priorytetowy, a także na bieżąco udoskonalać tryb Incognito. Firma słowa dotrzymała, ale przed nią jeszcze sporo pracy, by użytkownicy mogli rzeczywiście zachować prywatność na stronach.