The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Найден метод для определения просмотра в режиме инкогнито в Chrome 76

06.08.2019 10:02

В Chrome 76 была прикрыта лазейка в реализации FileSystem API, позволяющая определить из web-приложения применение режима инкогнито. Начиная с Chrome 76 вместо блокировки доступа к FileSystem API, которая использовалась как признак активности режима инкогнито, браузер перестал ограничивать FileSystem API, но очищал вносимые изменения после сеанса. Как оказалось, новая реализация имеет недостатки, позволяющие как и раньше определять активность режима инкогнито.

Суть проблемы в том, что сеанс с FileSystem API в режиме инкогнито является временным, а данные не сохраняются на диск и держатся в оперативной памяти. Соответственно, измеряя время сохранения данных через FileSystem API и возникающие отклонения (при сохранении в ОЗУ фиксируются постоянные характеристики, в то время как при записи на диск задержки меняются) можно достаточно уверенно судить просматривается страница в режиме инкогнито или нет. Недостатком метода является достаточно длительный процесс измерения отклонений, который может продолжаться около минуты (демонстрация).

При этом в Chrome 76 остаётся неисправлена ещё одна проблема, позволяющая судить об активности режима инкогнито на основании оценки устанавливаемых ограничений через API Quota Management. Для применяемого в режиме инкогнито временного хранилища устанавливаются иные лимиты, чем при полноценном хранении на диске.

Напомним, что в определении режима инкогнито заинтересованы сайты, работающие по модели предоставления полного доступа по платной подписке (paywall). Для привлечения новой аудитории подобные сайты предоставляют новым пользователями на какое-то время демонстрационный полный доступ, чем активно используются для обхода paywall. Самым простым способом получить доступ к платному контенту в таких системах является использование режима инкогнито, при котором сайт считает, что пользователь открыл страницу первый раз. Издателей такое поведение не устраивает, поэтому они активно использовали связанную с FileSystem API лазейку для вывода требования отключить режим инкогнито для продолжения просмотра.

  1. Главная ссылка к новости (https://blog.jse.li/posts/chro...)
  2. OpenNews: Релиз Chrome 76
  3. OpenNews: Google заблокирует сертификаты DarkMatter в Chrome и Android
  4. OpenNews: В Chrome 76 будет блокирована лазейка для определения просмотра в режиме инкогнито
  5. OpenNews: Для Chrome разрабатывают режим блокировки ресурсоёмкой рекламы
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: chrome, privacy
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (31) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Qwerty (??), 10:18, 06/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это не баг, а фича.
    Фича не для end-user, конечно.
     
  • 1.2, Гений (??), 10:22, 06/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    а если профиль браузера и так сидит в RAM-диске, то как они собираются ловить отклонения?
     
     
  • 2.3, Crazy Alex (ok), 10:27, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Никак, они на массы ориентируются
     
  • 2.4, тестер (?), 11:10, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Chromium с profile-sync-daemon не выдаёт задержек и по этому подходу детектируется как инкогнито
     

  • 1.5, Аноним (5), 11:15, 06/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Достаточно добавить сохранение на диск в папку /tmp всякой ерунды равной по размеру тому, что сохраяется в памяти перед возвратом из функции и тогда будут необходимые задержки.
     
     
  • 2.6, Аноним (5), 11:18, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Гениально!
     
     
  • 3.27, тщт (?), 23:26, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    1) кэш фс и так все в память пихает пока она есть, поэтому, видимо тест такой долгий, чтобы началась реальная запись,

    2) папка-тмп, в большенстве осей есть рам-диск

    так что нет

     
  • 2.7, имя (?), 11:36, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А можно и не писать вовсе, а просто рандомные задержки создавать. Костыли-костылики, придумать можно много всякого.
     
  • 2.29, Аноним (29), 01:48, 07/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем? Достаточно измерить задержки один раз на зоопарке железа в Гугле, после поставлять параметры распределения, из которого сэмплировать задержки, вместе с браузером.
     

  • 1.8, svsd_val (ok), 11:39, 06/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Оказывается и так можно а то Я paywall обходил прикидываясь ботом гугла %)
     
  • 1.9, AlexYeCu_not_logged (?), 11:47, 06/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    А в чём проблема-то?
    Просто исходя из функционала инкогнито?
    По сути это же «чтобы сайты на компе не мусорили и не лезли в сохранённый мусор» — этот функционал не страдает, а большего никто и не обещал.

    А на распространителей контента начхать: они вечно чего-то там требуют, то AdBlock им отключи, то карту банковскую засвети, теперь вот режим инкогнито не устраивает. Закрыл сайт — пошёл мимо.

     
  • 1.10, AlexYeCu_not_logged (?), 11:49, 06/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И кстати. В случае с платными сайтами. А в чём проблема куки выборочно поудалять? Т. е. это так себе защитный механизм, в общем-то.
     
     
  • 2.16, анон (?), 12:42, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ни в чем, все так и делают, куки для доверенных сайтов оставляют, а для других автоснос ставят: хранить до вкладки, хранить до перезапуска.
     
  • 2.24, Аноним (24), 14:55, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько я помню, в Firefox 24 и более ранних версиях можно было запретить куки, кроме исключений, и авторизация работала.
    Теперь теоретически так тоже можно сделать, но фактически авторизоваться можно, только если разрешены все куки (кроме сторонних сайтов).
    Интересно, что там испортили так, что выборочное разрешение кук перестало работать?

    В Pale Moon вроде пока все нормально.

     
     
  • 3.30, Аноним (30), 07:51, 07/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Даже не знал что такой функционал был нативно. Как бы там не было, функционал сохранения выборочных кук есть, наверное, в любом ныне существующем аддоне для их автоудаления
     

  • 1.11, Аноним (11), 12:09, 06/08/2019 Скрыто [﹢﹢﹢] [ · · · ]
  • –1 +/
     
     
  • 2.12, Аноним (11), 12:09, 06/08/2019 Скрыто
  • –1 +/
     

  • 1.13, Аноним (13), 12:15, 06/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Как оказалось, новая реализация имеет недостатки

    Да там особо не старались, приложили подорожник, изобразили вид деятельности. Там, поди, ещё 1000 и 1 вектор определения.

     
     
  • 2.18, НяшМяш (ok), 13:29, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для себя делали, вестимо.
     

  • 1.14, Ivan_83 (ok), 12:16, 06/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Достали уже, загрубить таймер до секунды.
     
     
  • 2.21, Аноним (21), 14:29, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше до 15 минут. Точность: "без четверти 12" :)
     
  • 2.23, Аноним_t (?), 14:46, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так вроде уже загрубляли, чтобы от Meltdown или Spectre защищаться. Или отпять уточнили?
     
     
  • 3.26, Ivan_83 (ok), 16:17, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скорее всего не достаточно загрубили.
     

  • 1.15, Ilya Indigo (ok), 12:33, 06/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Напомним, что в определении режима инкогнито заинтересованы сайты, работающие по модели предоставления полного доступа по платной подписке (paywall).

    Да напишите уже прямо - эротические видеочаты!

     
     
  • 2.17, Гость (??), 12:50, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    в видеочатах чаще просто "токены", а платные подписки вовсе не обязательно даже для чегото эротического, фильмы-сериалы..
     
  • 2.19, Hewlett Packard (?), 13:30, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Wall Street Journal гораздо дороже будет чем десяток эротических видеочатов.
     

  • 1.20, iCat (ok), 14:01, 06/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кругом - бабло...
     
     
  • 2.25, Hewlett Packard (?), 16:01, 06/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Пробовали и по карточкам распределять, и не раз, но как-то не пошло.
     

  • 1.22, Аноним (22), 14:30, 06/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    че-то демонстрация в режиме инкогнито тоже выдала разные результаты:
    ...1844,1687,1625,1621,1600,1616,1640,2069,1741,1634,1361,1115,1106,1102,1108,1112,1117,1122,1126,1122,1180,1499,1195,1200,1173,1314,1158,1138,1140,1139,1123...
    так что весьма сомнительный метод
     
  • 1.28, Аноним (29), 01:45, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Издателей такое поведение не устраивает, поэтому они активно использовали связанную с FileSystem API лазейку для вывода требования отключить режим инкогнито для продолжения просмотра.

    Кончится это тем, что будут требовать "бесплатной" привязки мобильного для одноразовой активации "бесплатного" режима. После телефон заносится в базу, а база продаётся data-брокерам.

     
  • 1.31, Аноним (31), 16:55, 07/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Chrome 76" и "инкогнито" - две взаимоисключающие друг друга понятия.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру