In Chrome 76 wurde im FileSystem API entdeckt, die es ermöglicht, aus einer Webanwendung die Nutzung des Inkognito-Modus zu erkennen. Ab Chrome 76 blockiert der Browser nicht mehr den Zugriff auf das FileSystem API, der früher verwendet wurde, um die Aktivität des Inkognito-Modus zu identifizieren; stattdessen wurden die Änderungen nach der Sitzung gelöscht. Es stellte sich heraus, dass die neue Implementierung Das Problem besteht darin, dass die Sitzung mit dem FileSystem API im Inkognito-Modus temporär ist und die Daten nicht auf der Festplatte, sondern im Arbeitsspeicher gehalten werden. Daher kann man
durch die Messung Demonstration).
При этом в Chrome 76 остаётся неисправлена ещё одна , die es ermöglicht, die Aktivität des Inkognito-Modus basierend auf der Bewertung der über die API festgelegten Einschränkungen zu beurteilen. . Für den im Inkognito-Modus verwendeten temporären Speicher gelten andere Limits als bei der vollständigen Speicherung auf der Festplatte.
Wir erinnern daran, dass Webseiten, die nach dem Modell des vollständigen Zugangs durch ein Abonnement (Paywall) arbeiten, an der Definition des Inkognito-Modus interessiert sind. Um neue Nutzer zu gewinnen, bieten solche Seiten neuen Benutzern für eine bestimmte Zeit vollen Zugang im Rahmen einer Demo an, was aktiv zum Umgehen der Paywall genutzt wird. Der einfachste Weg, um auf kostenpflichtige Inhalte in solchen Systemen zuzugreifen, ist die Nutzung des Inkognito-Modus, bei dem die Webseite annimmt, dass der Benutzer die Seite zum ersten Mal geöffnet hat. Verlage sind mit diesem Verhalten unzufrieden, weshalb sie aktiv die mit der FileSystem API verbundene Schwachstelle genutzt haben, um die Forderung zu stellen, den Inkognito-Modus für die Fortsetzung der Ansicht abzuschalten.
Quelle: opennet.ru
