查看原文
其他

Chrome 隐私模式爆漏洞,用户无处隐身

小雪 看雪学院 2019-05-25

为了避免被广告追踪和被网站知晓自己的浏览器历史记录,以谷歌 Chrome 为代表的现代浏览器,纷纷引入了“隐身模式”。 借助FileSystem API,Chrome 隐身模式会阻止网站在用户设备中保存临时数据。

但是一个开放的漏洞利用,却让别有用心的网站能够检测用户是否处于反追踪的“无痕模式”。据悉,该问题与 Web 开发侧的隐身模式检测有关这是一种隐私泄漏行为。Google 目前正在考虑修改 Chrome 的相关 API,来杜绝这种行为。

据外媒报道,谷歌Chrome浏览器的未来版本将修复一个漏洞,该漏洞能让网站检测并阻止尝试使用隐身模式访问它们的用户。

Chrome的隐身模式除了不存储浏览历史记录外,也会阻止网站使用Cookie跟踪你。但是,由于网络广告收入的大部分依赖于此跟踪数据,因此如果你使用此模式访问网站,某些网站会阻止你阅读他们的文章。

对于大多数用户来说,这不是一个大问题。通常情况下,我们只是在网络上随便逛逛而已。但是对于那些希望在隐身模式下来工作的人们来说,这个问题着实令人头疼。



大多数网站通过尝试使用“FileSystem”API来保护用户隐私,该API在使用隐身模式时被禁用,因为它允许创建永久文件。然而,最近提交给Chromium的源代码显示,该漏洞可使chrome网站相信其FileSystem API始终可用。


Chrome表示,当网站将来在浏览器处于隐身模式时请求使用API时,Chrome将不再回馈错误提示。相反,它将在RAM中创建一个虚拟文件系统。然后,这将在您的隐身会话结束时被删除,这样就不会创建永久记录。



根据最新的设计文档说明,如果用户在非隐身模式浏览网页,Chrome将继续使用无力存储的虚拟文件系统,但是使用隐身模式时,Chrome 会将内容存储到内存中。然后,与真实存储机制不同的是,一旦用户离开了当前网站,相关数据就会被立即删除,不会在硬盘中留下任何痕迹。


使用上面这种模式会出现的问题是:一些恶意网站可能会滥用所有内存,使浏览器崩溃。Google 在后期会对内存占用大小做出说明。


Google 表示他们正在修改 FileSystem API,以便在隐身模式下可以使用,而不会有隐私风险。


但是,在完全删除FileSystem API之前,此解决方法可能会变成短期修复。如果Google发现在隐身模式用户之外没有看到任何合法用途,则可以删除该功能。


该修复程序目前旨在作为Chrome 74的选择加入功能,可通过“chrome:// flags” 实验功能菜单访问。更新预计将在四月份时到来,之后有希望在Chrome 76中默认启用。

 

参考来源:

  • IT之家

  •  开源中国

  • cnBeta.COM



- End -


征题正在火热进行中!

(晋级赛Q1即将于3月10日开启,敬请期待!)


热门文章阅读


1、商业 Unix 在衰落

2、已开源|一键刷新,生成真人“照骗”

3、英雄召集令!2019安全开发者峰会等你来!

4、Steam盗号木马再次来袭:“伪装高手”利用QQ群邮件传播!


热门课程推荐













公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com



点击下方“阅读原文”

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存