Chrome 76 avait une faille dans l'implémentation de l'API FileSystem qui permet de déterminer depuis une application web l'utilisation du mode incognito. À partir de Chrome 76, au lieu de bloquer l'accès à l'API FileSystem, qui était utilisée comme signe d'activité en mode navigation privée, le navigateur ne restreint plus l'API FileSystem, mais nettoie les modifications apportées après la session. Il s'avère que la nouvelle implémentation inconvénients qui permettent de déterminer l'activité du mode incognito comme auparavant.
L'essence du problème est que la session avec l'API FileSystem en mode navigation privée est temporaire et que les données ne sont pas enregistrées sur le disque et sont conservées dans la RAM. Respectivement, le temps de sauvegarde des données via l'API FileSystem et les écarts qui surviennent (lors de la sauvegarde dans la RAM, des caractéristiques constantes sont enregistrées, tandis que lors de l'écriture sur le disque, les délais changent), vous pouvez juger en toute confiance si la page est visualisée en mode navigation privée ou non . L'inconvénient de cette méthode est le processus assez long de mesure des écarts, qui peut durer environ une minute ().
Dans le même temps, une autre chose reste non corrigée dans Chrome 76 , qui permet de juger de l'activité du mode incognito sur la base d'une évaluation des restrictions fixées via l'API . Pour le stockage temporaire utilisé en mode navigation privée, des limites différentes sont définies par rapport au stockage complet sur disque.
Rappelons que les sites fonctionnant sur le modèle de l'accès complet via un abonnement payant (paywall) sont intéressés par la définition du mode incognito. Pour attirer un nouveau public, ces sites offrent aux nouveaux utilisateurs un accès complet à la démo pendant un certain temps, qui est activement utilisé pour contourner les paywalls. Le moyen le plus simple d'accéder au contenu payant dans de tels systèmes est d'utiliser le mode navigation privée, dans lequel le site estime que l'utilisateur a ouvert la page pour la première fois. Les éditeurs ne sont pas satisfaits de ce comportement, ils ont donc activement utilisé une faille associée à l'API FileSystem pour imposer l'obligation de désactiver le mode navigation privée pour continuer la navigation.
Source: opennet.ru