Chrome 76 有 FileSystem API 實作中存在漏洞,可讓您從 Web 應用程式確定隱身模式的使用。 從 Chrome 76 開始,瀏覽器不再限制檔案系統 API,而是清除會話後所做的更改,而不是阻止對檔案系統 API 的存取(檔案系統 API 被用作隱身模式活動的標誌)。 事實證明,新的實施 缺點使得可以像以前一樣確定隱身模式的活動。
問題的本質是,隱身模式下與 FileSystem API 的會話是暫時的,資料不會儲存到磁碟上,而是保存在 RAM 中。 分別, 透過FileSystem API保存資料的時間以及出現的偏差(儲存在RAM中時,會記錄恆定的特徵,而寫入磁碟時,延遲會發生變化),您可以自信地判斷頁面是否正在以隱身模式查看。 這種方法的缺點是測量偏差的過程相當漫長,可能持續約一分鐘().
同時,Chrome 76 中還有一件事尚未解決 ,它允許您根據對通過 API 設定的限制的評估來判斷隱身模式的活動 。 對於在隱身模式下使用的臨時存儲,設定的限制與磁碟上的完整存儲不同。
讓我們提醒您,透過付費訂閱(付費牆)提供完全存取模式運作的網站有興趣定義隱身模式。 為了吸引新的受眾,此類網站為新用戶提供一段時間的演示完全訪問權限,並積極用於繞過付費牆。 在此類系統中存取付費內容的最簡單方法是使用隱身模式,在該模式下,網站認為使用者是第一次開啟該頁面。 出版商對這種行為並不滿意,因此他們主動利用與 FileSystem API 相關的漏洞來強制要求停用隱身模式才能繼續瀏覽。
來源: opennet.ru