У Chrome 76 была шчыліна ў рэалізацыі FileSystem API, якая дазваляе вызначыць з web-прыкладанні ўжыванне рэжыму інкогніта. Пачынальна з Chrome 76 замест блакавання доступу да FileSystem API, якая выкарыстоўвалася як прыкмета актыўнасці рэжыму інкогніта, браўзэр перастаў абмяжоўваць FileSystem API, але чысціў уносныя змены пасля сеансу. Як аказалася, новая рэалізацыя недахопы, якія дазваляюць па-ранейшаму вызначаць актыўнасць рэжыму інкогніта.
Сутнасць праблемы ў тым, што сеанс з FileSystem API у рэжыме інкогніта з'яўляецца часовым, а дадзеныя не захоўваюцца на дыск і трымаюцца ў аператыўнай памяці. Адпаведна, час захавання дадзеных праз FileSystem API і якія ўзнікаюць адхіленні (пры захаванні ў АЗП фіксуюцца сталыя характарыстыкі, у той час як пры запісе на дыск затрымкі змяняюцца) можна досыць упэўнена судзіць праглядаецца старонка ў рэжыме інкогніта ці не. Недахопам метаду з'яўляецца дастаткова працяглы працэс вымярэння адхіленняў, які можа працягвацца каля хвіліны ().
Пры гэтым у Chrome 76 застаецца невыпраўлена яшчэ адна , якая дазваляе судзіць аб актыўнасці рэжыму інкогніта на падставе адзнакі ўсталёўваных абмежаванняў праз API . Для ужывальнага ў рэжыме інкогніта часавага сховішча ўсталёўваюцца іншыя ліміты, чым пры паўнавартасным захоўванні на дыску.
Нагадаем, што ў вызначэнні рэжыму інкогніта зацікаўлены сайты, якія працуюць па мадэлі прадастаўлення поўнага доступу па платнай падпісцы (paywall). Для прыцягнення новай аўдыторыі падобныя сайты падаюць новым карыстачамі на нейкі час дэманстрацыйны поўны доступ, чым актыўна выкарыстоўваюцца для абыходу paywall. Самым простым спосабам атрымаць доступ да платнага кантэнту ў такіх сістэмах з'яўляецца выкарыстанне рэжыму інкогніта, пры якім сайт лічыць, што карыстач адкрыў старонку першы раз. Выдаўцоў такія паводзіны не задавальняе, таму яны актыўна выкарыстоўвалі звязаную з FileSystem API шчыліну для высновы патрабавання адключыць рэжым інкогніта для працягу прагляду.
Крыніца: opennet.ru