Chrome 76 には Web アプリケーションからシークレット モードの使用を判断できるようにする FileSystem API の実装の抜け穴。 Chrome 76 以降では、シークレット モード アクティビティの兆候として使用されていた FileSystem API へのアクセスをブロックする代わりに、ブラウザは FileSystem API を制限しなくなり、セッション後に加えられた変更をクリーンアップします。 結局のところ、新しい実装は これにより、以前と同様にシークレット モードのアクティビティを判断できるようになります。
問題の本質は、シークレット モードでの FileSystem API とのセッションが一時的なものであり、データがディスクに保存されず RAM に保持されることです。 それぞれ、 FileSystem API を介してデータを保存する時間と、発生する偏差 (RAM に保存する場合は一定の特性が記録されますが、ディスクに書き込む場合は遅延が変化します) ページがシークレット モードで表示されているかどうかを自信を持って判断できます。 。 この方法の欠点は、偏差を測定するプロセスにかなり時間がかかり、XNUMX 分ほどかかることです ().
同時に、Chrome 76 ではもう XNUMX つ未修正のままです。 API を介して設定された制限の評価に基づいて、シークレット モードのアクティビティを判断できます。 。 シークレット モードで使用される一時ストレージには、ディスク上の完全なストレージとは異なる制限が設定されます。
有料サブスクリプション (ペイウォール) を介して完全なアクセスを提供するモデルで運営されているサイトは、シークレット モードの定義に関心があることを思い出してください。 新しい視聴者を引き付けるために、このようなサイトは新規ユーザーにデモ用のフルアクセスをしばらくの間提供しており、ペイウォールを回避するために積極的に使用されています。 このようなシステムで有料コンテンツにアクセスする最も簡単な方法は、ユーザーが初めてページを開いたとサイトが認識するシークレット モードを使用することです。 パブリッシャーはこの動作に満足していないため、FileSystem API に関連付けられた抜け穴を積極的に利用して、閲覧を続行するにはシークレット モードを無効にするという要件を課しました。
出所: オープンネット.ru