Chrome 76 hatte eine Lücke in der Implementierung der FileSystem-API, die es Ihnen ermöglicht, von einer Webanwendung aus zu bestimmen, ob der Inkognito-Modus verwendet wird. Ab Chrome 76 blockiert der Browser nicht mehr den Zugriff auf die FileSystem-API, was als Zeichen für Aktivitäten im Inkognito-Modus verwendet wurde, sondern bereinigt die nach der Sitzung vorgenommenen Änderungen. Wie sich herausstellt, die neue Implementierung Nachteile, die es ermöglichen, die Aktivität des Inkognito-Modus wie zuvor zu bestimmen.
Der Kern des Problems besteht darin, dass die Sitzung mit der FileSystem-API im Inkognito-Modus temporär ist und die Daten nicht auf der Festplatte, sondern im RAM gespeichert werden. Jeweils, Durch den Zeitpunkt des Speicherns von Daten über die FileSystem-API und die auftretenden Abweichungen (beim Speichern im RAM werden konstante Eigenschaften aufgezeichnet, beim Schreiben auf die Festplatte ändern sich die Verzögerungen) können Sie sicher beurteilen, ob die Seite im Inkognito-Modus angezeigt wird oder nicht . Der Nachteil dieser Methode ist der recht langwierige Prozess der Abweichungsmessung, der etwa eine Minute dauern kann ().
Gleichzeitig gibt es in Chrome 76 noch eine weitere Sache, die nicht behoben wurde , mit dem Sie die Aktivität des Inkognito-Modus anhand einer Bewertung der über die API festgelegten Einschränkungen beurteilen können . Für die temporäre Speicherung im Inkognito-Modus gelten andere Grenzwerte als für die vollständige Speicherung auf der Festplatte.
Wir möchten Sie daran erinnern, dass Websites, die nach dem Modell der Bereitstellung des vollständigen Zugriffs über ein kostenpflichtiges Abonnement (Paywall) arbeiten, daran interessiert sind, den Inkognito-Modus zu definieren. Um ein neues Publikum anzulocken, stellen solche Websites neuen Benutzern für einige Zeit einen Demo-Vollzugriff zur Verfügung, der aktiv zur Umgehung von Paywalls genutzt wird. Der einfachste Weg, in solchen Systemen auf kostenpflichtige Inhalte zuzugreifen, ist die Verwendung des Inkognito-Modus, bei dem die Website davon ausgeht, dass der Benutzer die Seite zum ersten Mal geöffnet hat. Die Herausgeber sind mit diesem Verhalten unzufrieden und haben daher aktiv eine Lücke im Zusammenhang mit der FileSystem-API ausgenutzt, um eine Anforderung zur Deaktivierung des Inkognito-Modus vorzuschreiben, um mit dem Surfen fortfahren zu können.
Source: opennet.ru