安全動(dòng)態(tài)

盡管谷歌已修復(fù)漏洞 網(wǎng)站仍會(huì)檢測(cè) Chrome 是否處于隱身模式

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-08-10    瀏覽次數(shù):
 

信息來(lái)源:hackernews

針對(duì)啟用了無(wú)痕模式的 Chrome 用戶仍會(huì)被不守規(guī)矩的網(wǎng)站強(qiáng)行檢測(cè)一事,谷歌方面已經(jīng)修復(fù)了一處漏洞。尷尬的是,這場(chǎng)利益攻防戰(zhàn)并沒(méi)有就此結(jié)束,因?yàn)槁斆鞯木W(wǎng)站仍會(huì)通過(guò)其它方法來(lái)檢測(cè) Chrome 76 是否啟用了隱私瀏覽模式。其實(shí) Chromium 團(tuán)隊(duì)自身也意識(shí)到存在這種可能,畢竟瀏覽器還提供了一些其它必要的應(yīng)用程序接口(API)。

9e42ef6c4d4064f

(題圖 via Techdows

默認(rèn)情況下,Google 會(huì)在 Chrome 瀏覽器啟用無(wú)痕模式時(shí)禁用文件系統(tǒng) API,以防止將瀏覽歷史記錄保存到磁盤上。

反之,網(wǎng)站可以通過(guò) Filesystem API,對(duì)用戶瀏覽器的當(dāng)前模式進(jìn)行判斷。然后強(qiáng)行要求用戶登錄或創(chuàng)建免費(fèi)賬戶,以繼續(xù)瀏覽完整的內(nèi)容。

在意識(shí)到這個(gè)漏洞之后,谷歌引入了一個(gè)新的標(biāo)記(flag),以便在無(wú)痕模式下啟用 了 FileSystem API,Chrome 76 中已經(jīng)默認(rèn)打開(kāi)。

谷歌在一篇博客文章中寫到,其已經(jīng)修復(fù)了某些網(wǎng)站不當(dāng)利用 FileSystem API 的一個(gè)漏洞。

遺憾的是,即便急用了這個(gè)標(biāo)記,《紐約時(shí)報(bào)》網(wǎng)站仍會(huì)檢測(cè)到該模式是否已開(kāi)啟(如上圖所示)。

近日有一位安全研究人員透露,Chrome 瀏覽器未能真的做到應(yīng)對(duì)無(wú)痕模式的檢測(cè)防御,因?yàn)榫W(wǎng)站仍可通過(guò) Quota Management API 來(lái)檢測(cè)。

另一位名叫 Jesse Li 的開(kāi)發(fā)者,更是給出了一個(gè)技術(shù)概念驗(yàn)證,表明網(wǎng)站仍可通過(guò)評(píng)估 Filesystem API的 寫入速度,來(lái)檢測(cè)無(wú)痕模式。

當(dāng)然,Chromium 開(kāi)發(fā)團(tuán)隊(duì)仍可通過(guò)其它措施,來(lái)修復(fù)針對(duì) Chrome 無(wú)痕模式的反向檢測(cè),比如可從配額和計(jì)時(shí)方面著手。

 
 

上一篇:2019年08月09日 聚銘安全速遞

下一篇:2019年08月10日 聚銘安全速遞