透過將 Chrome 網路瀏覽器更新到版本 76,Google希望能夠結束隱私瀏覽的偵測。一些網站使用這種可疑的做法來阻止訪客無限制地存取其內容。
私密瀏覽可繞過某些付費牆
隱私瀏覽旨在提供無痕瀏覽,讓您在網路上沖浪時不保留任何瀏覽記錄,但最重要的是不會在您的電腦上保存任何 cookie。
唯一的問題是,如果不在您的電腦上儲存這些著名的 cookie,內容發佈者就無法計算您的造訪次數。您肯定已經遇到過某個網站將其內容的免費閱讀限制為每月五篇文章,並且有義務支付數位費用才能超出此限制。
為了防止使用隱私瀏覽,某些網站(例如紐約時報或金融時報,整合了一個腳本來檢測訪客使用 Chrome 隱身模式的情況,以防止他們無限制地存取其免費內容。
為了工作,這個腳本只是確保某個 API 是否存在,在經典導航中激活,但在隱身模式下不存在。因此,當造訪的網站沒有偵測到此 API 的存在時,它就知道使用者正在使用隱私瀏覽。為了防止這種檢測,Google 因此選擇在經典瀏覽和隱私瀏覽中實作此 API。
為了完成修復,還決定 FileSystem API 不再使用可用磁碟儲存以隱身模式儲存臨時文件,而是僅依賴 RAM,以便在每個會話結束時自動清理。
一個不充分的補丁為兩種新的檢測方法開闢了道路
不幸的是,這種喘息的時間很短,因為兩種檢測隱私瀏覽的新方法被公佈。
第一個是由安全研究人員 Vikas Mishra 發現的,它直接基於選擇使用 RAM 而不是傳統儲存媒體來儲存臨時檔案。如何 ?僅基於指派給瀏覽器的可用儲存量。安全研究人員解釋說,事實上,在隱私瀏覽中,Chrome 分配的最大配額為 120 MB。
使用這些數據,他能夠產生一個腳本,一旦安裝在網站上,就能夠詢問訪客的瀏覽器分配給系統檔案的記憶體量。如果傳回的回應接近 120 MB 或更少,則 Google Chrome 處於私密瀏覽狀態。
測量記憶體速度
另一位安全研究員 Jesse Li 透露的第二種方法依賴於儲存臨時檔案的儲存媒體的存取速度。
由於 RAM 本質上總是比傳統磁碟更快,因此只需測量臨時檔案的寫入速度就足以了解訪客是否正在使用 Chrome 的隱私瀏覽。因此,想要偵測私人瀏覽使用情況的網站只需執行啟動讀取/寫入速度測量的腳本即可。
已使用兩種檢測方法
BleepingComputer 也透露,自從 Google Chrome 更新到版本 76 以來,使用隱私瀏覽偵測的網站已經更新了其偵測方法。
Microsoft Edge 開發人員 Eric Lawrence(其下一個版本直接依賴 Google Chrome 的開源版本 Chromium)最近發布的一條推文顯示,《紐約時報》已經在使用基於分配給臨時內存的內存量的檢測方法。斯·米甚拉(Vikas Mishra) 發現的文件支持證據。
無恥之人。https://t.co/2mhzCyJQoq pic.twitter.com/z7zHlUDqTb
— 🎻 EricLaw ➡️ BlueSky (@ericlaw)2019 年 8 月 10 日
當 BleepingComputer 詢問這兩種偵測隱私瀏覽的新方法時,Google表示將繼續努力對抗目前和未來偵測 Google Chrome 隱身模式的方法。
Opera One - AI 驅動的網頁瀏覽器
作者:歌劇
