Chrome 76 มี ช่องโหว่ในการใช้งาน FileSystem API ที่ช่วยให้คุณกำหนดจากเว็บแอปพลิเคชันถึงการใช้โหมดไม่ระบุตัวตน เริ่มตั้งแต่ Chrome 76 เป็นต้นไป แทนที่จะบล็อกการเข้าถึง FileSystem API ซึ่งใช้เป็นสัญญาณของกิจกรรมในโหมดไม่ระบุตัวตน เบราว์เซอร์จะไม่จำกัด FileSystem API อีกต่อไป แต่ล้างการเปลี่ยนแปลงที่ทำหลังจากเซสชัน ปรากฎว่ามีการดำเนินการใหม่ ข้อเสียที่ทำให้สามารถระบุกิจกรรมของโหมดไม่ระบุตัวตนได้เช่นเดิม
สาระสำคัญของปัญหาคือเซสชันที่มี FileSystem API ในโหมดไม่ระบุตัวตนนั้นเป็นเซสชันชั่วคราว และข้อมูลจะไม่ถูกบันทึกลงดิสก์และถูกเก็บไว้ใน RAM ตามลำดับ เวลาในการบันทึกข้อมูลผ่าน FileSystem API และการเบี่ยงเบนที่เกิดขึ้น (เมื่อบันทึกใน RAM คุณลักษณะคงที่จะถูกบันทึกในขณะที่เขียนลงดิสก์ความล่าช้าจะเปลี่ยนไป) คุณสามารถตัดสินได้อย่างมั่นใจว่าเพจกำลังดูในโหมดไม่ระบุตัวตนหรือไม่ . ข้อเสียของวิธีนี้คือกระบวนการวัดความเบี่ยงเบนค่อนข้างยาว ซึ่งอาจใช้เวลาประมาณหนึ่งนาที ().
ในขณะเดียวกัน ยังมีอีกสิ่งหนึ่งที่ยังคงไม่ได้รับการแก้ไขใน Chrome 76 ซึ่งช่วยให้คุณตัดสินกิจกรรมของโหมดไม่ระบุตัวตนโดยพิจารณาจากการประเมินข้อจำกัดที่กำหนดผ่าน API . สำหรับพื้นที่เก็บข้อมูลชั่วคราวที่ใช้ในโหมดไม่ระบุตัวตน จะมีการตั้งค่าขีดจำกัดที่แตกต่างจากพื้นที่เก็บข้อมูลเต็มบนดิสก์
เราขอเตือนคุณว่าไซต์ที่ทำงานในรูปแบบการให้การเข้าถึงเต็มรูปแบบผ่านการสมัครสมาชิกแบบชำระเงิน (เพย์วอลล์) สนใจที่จะกำหนดโหมดไม่ระบุตัวตน เพื่อดึงดูดผู้ชมใหม่ ไซต์ดังกล่าวให้ผู้ใช้ใหม่สามารถเข้าถึงการสาธิตการเข้าถึงแบบเต็มได้ในบางครั้ง ซึ่งใช้เพื่อเลี่ยงเพย์วอลล์ วิธีที่ง่ายที่สุดในการเข้าถึงเนื้อหาที่ต้องชำระเงินในระบบดังกล่าวคือการใช้โหมดไม่ระบุตัวตน ซึ่งไซต์เชื่อว่าผู้ใช้เปิดเพจนี้เป็นครั้งแรก ผู้เผยแพร่ไม่พอใจกับพฤติกรรมนี้ พวกเขาจึงใช้ช่องโหว่ที่เกี่ยวข้องกับ FileSystem API อย่างจริงจังเพื่อกำหนดข้อกำหนดในการปิดใช้งานโหมดไม่ระบุตัวตนเพื่อเรียกดูต่อ
ที่มา: opennet.ru