安全动态

尽管谷歌已修复漏洞 网站仍会检测 Chrome 是否处于隐身模式

来源:聚铭网络    发布时间:2019-08-10    浏览次数:
 

信息来源:hackernews

针对启用了无痕模式的 Chrome 用户仍会被不守规矩的网站强行检测一事,谷歌方面已经修复了一处漏洞。尴尬的是,这场利益攻防战并没有就此结束,因为聪明的网站仍会通过其它方法来检测 Chrome 76 是否启用了隐私浏览模式。其实 Chromium 团队自身也意识到存在这种可能,毕竟浏览器还提供了一些其它必要的应用程序接口(API)。

9e42ef6c4d4064f

(题图 via Techdows

默认情况下,Google 会在 Chrome 浏览器启用无痕模式时禁用文件系统 API,以防止将浏览历史记录保存到磁盘上。

反之,网站可以通过 Filesystem API,对用户浏览器的当前模式进行判断。然后强行要求用户登录或创建免费账户,以继续浏览完整的内容。

在意识到这个漏洞之后,谷歌引入了一个新的标记(flag),以便在无痕模式下启用 了 FileSystem API,Chrome 76 中已经默认打开。

谷歌在一篇博客文章中写到,其已经修复了某些网站不当利用 FileSystem API 的一个漏洞。

遗憾的是,即便急用了这个标记,《纽约时报》网站仍会检测到该模式是否已开启(如上图所示)。

近日有一位安全研究人员透露,Chrome 浏览器未能真的做到应对无痕模式的检测防御,因为网站仍可通过 Quota Management API 来检测。

另一位名叫 Jesse Li 的开发者,更是给出了一个技术概念验证,表明网站仍可通过评估 Filesystem API的 写入速度,来检测无痕模式。

当然,Chromium 开发团队仍可通过其它措施,来修复针对 Chrome 无痕模式的反向检测,比如可从配额和计时方面着手。

 
 

上一篇:2019年08月09日 聚铭安全速递

下一篇:2019年08月10日 聚铭安全速递