澳门新葡亰平台官网谷歌Chrome浏览器修补漏洞:隐身模式用户不能再被阻止访问 – Chrome,谷歌 – IT之家

by admin on 2020年3月8日

澳门新葡亰平台官网 1

IT之家2月18日消息据外媒9to5Google的新闻,谷歌Chrome浏览器的未来版本将修复一个漏洞,该漏洞能让网站检测并阻止尝试使用隐身模式访问它们的用户。

Google将在7月30日释出的Chrome
76中,修正档案系统API的漏洞,由于这个漏洞能让网站侦测用户是否正使用Chrome无痕模式,因此将影响以该漏洞防止用户规避计次付费墙收费模式的媒体网站,Google要这些网站提早做准备,变更收费策略或使用另外的侦测技术,并对网站进行全面的测试。

在使用 Chrome
浏览网页时,某些网站会使用某种方法来确定访问者是否处于隐身模式,这是一种隐私泄漏行为。Google
目前正在考虑修改 Chrome 的相关 API,来杜绝这种行为。

澳门新葡亰平台官网,除了不存储浏览历史记录外,Chrome的隐身模式也会阻止网站使用Cookie跟踪您。但是,由于网络广告收入的大部分依赖于此跟踪数据,因此如果您使用此模式访问网站,某些网站会阻止您阅读他们的文章。

当用户使用Chrome无痕模式浏览网站时,网站可以使用Chrome档案系统(FileSystem)API的漏洞,侦测用户正在使用无痕模式。在预设情况下,Chrome在无痕模式时会禁用档案系统API,以避免在装置上留下任何活动的痕迹,但是网站可以检查浏览器档案系统API的可用性,当收到回传为错误讯息时,网站便能知道用户使用无痕模式,并给予不同的用户体验。

Chrome 支持 FileSystem
API,该系统允许在浏览器沙箱中创建虚拟的文件系统。缓存网站的相关资源到该系统,这样就不必每次加载时都下载这些文件。

大多数网站通过尝试使用“FileSystem”API来执行此操作,该API在使用隐身模式时被禁用,因为它允许创建永久文件。然而,最近提交给Chromium的源代码,显示了浏览器很快就会诱使网站相信其FileSystem
API始终可用。

不少媒体网站使用计次付费墙收费模式,计次付费墙与强迫用户登入网站的收费方式不同,计次付费墙让用户不需要登入网站,就能浏览一定数量的属性,超过免费数量后,才会要求用户登入订阅帐户,但不少用户会使用Chrome无痕模式,规避计次付费墙的Cookie追踪,以无限制地浏览网站属性。

但在本周早些时候更新的 Chrome
Gerrit 文章
中,Google 表示他们正在修改 FileSystem
API,以便在隐身模式下可以使用,而不会有隐私风险。

当网站将来在浏览器处于隐身模式时请求使用API时,Chrome将不再回馈错误提示。相反,它将在RAM中创建一个虚拟文件系统。然后,这将在您的隐身会话结束时被删除,这样就不会创建永久记录。

澳门新葡亰平台官网 2

澳门新葡亰平台官网 3

但是,在完全删除FileSystem
API之前,此解决方法可能会变成短期修复。如果Google发现在隐身模式用户之外没有看到任何合法用途,则可以删除该功能。

而这个漏洞著名的用法之一,就是被媒体网站拿来确认用户是否使用无痕模式,当网站发现用户开启无痕模式时,就能强制要求用户登入,或是切换到一般浏览模式,但现在Google要修掉档案系统API的漏洞,而这将会影响使用这个漏洞的媒体网站,无法判断用户是否正在使用无痕模式,也就无法防止用户规避免费浏览数量的追踪。

根据最新的设计文档说明,如果用户在非隐身模式浏览网页,Chrome
将继续使用无力存储的虚拟文件系统,但是使用隐身模式时,Chrome
会将内容存储到内存中。在隐身模式会话关闭时,相关的文件系统也会被清楚,不会在硬盘中留下任何痕迹。

该修复程序目前旨在作为Chrome 74的选择加入功能,可通过“chrome://
flags”
实验功能菜单访问。更新预计将在四月份时到来,之后有希望在Chrome
76中默认启用。

Google提到,本身使用Cookie追踪的计次付费墙模式就很容易被破解,因为这项功能仰赖网站追踪用户浏览免费文章数量的能力,当网站以Cookie进行追踪,用户很容易就能使用浏览器无痕模式重置Cookie。

使用上面这种模式会出现的问题是:一些恶意网站可能会滥用所有内存,使浏览器崩溃。Google
在后期会对内存占用大小做出说明。

为此Google也强调,用户使用无痕模式浏览有其隐私原因,可能想在共享或是借用的装置上保持隐私,甚至是在政治压迫或是家庭虐待的情况下使用,才必须要隐藏在网络上的活动,无论如何,使用者有自己安全上的考察。Google认为要贯彻无痕模式的原则,因此将会在7月30日发布的Chrome
76,修正档案系统API可用来侦测无痕模式的漏洞,而且未来在也会继续解决其他无痕模式侦测问题。

目前该改进功能将在 Chrome 74 发布。

Google建议采用计次付费墙模式的网站,可以减少登入前可查看免费文章的数量,或要求所有用户注册免费帐号,登入以浏览网站属性,甚至是开发新的计次付费墙追踪功能。由于档案系统API漏洞经修复后,现行的付费墙功能可能产生无法预期的行为,Google提醒,网站不只要对无痕模式用户进行测试,也要测试网站在一般浏览模式下的行为。

该功能会在 Chrome Canary 中尽快发布,你可以通过 chrome://flags 的
“enable-filesystem-in-incognito” 开启。

资料来源:iThome Security

(文/开源中国)    

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图