Chrome 隱私模式爆漏洞，使用者無處隱身

為了避免被廣告追蹤和被網站知曉自己的瀏覽器歷史記錄，以谷歌 Chrome 為代表的現代瀏覽器，紛紛引入了“隱身模式”。 藉助FileSystem API，Chrome 隱身模式會阻止網站在使用者裝置中儲存臨時資料。

但是一個開放的漏洞利用，卻讓別有用心的網站能夠檢測使用者是否處於反追蹤的“無痕模式”。據悉，該問題與 Web 開發側的隱身模式檢測有關。這是一種隱私洩漏行為。Google 目前正在考慮修改 Chrome 的相關 API，來杜絕這種行為。

據外媒報導，谷歌Chrome瀏覽器的未來版本將修復一個漏洞，該漏洞能讓網站檢測並阻止嘗試使用隱身模式訪問它們的使用者。

Chrome的隱身模式除了不儲存瀏覽歷史記錄外，也會阻止網站使用Cookie跟蹤你。但是，由於網路廣告收入的大部分依賴於此跟蹤資料，因此如果你使用此模式訪問網站，某些網站會阻止你閱讀他們的文章。

對於大多數使用者來說，這不是一個大問題。通常情況下，我們只是在網路上隨便逛逛而已。但是對於那些希望在隱身模式下來工作的人們來說，這個問題著實令人頭疼。

大多數網站通過嘗試使用“FileSystem”API來保護使用者隱私，該API在使用隱身模式時被禁用，因為它允許建立永久檔案。然而，最近提交給Chromium的原始碼顯示，該漏洞可使chrome網站相信其FileSystem API始終可用。

Chrome表示，當網站將來在瀏覽器處於隱身模式時請求使用API時，Chrome將不再回饋錯誤提示。相反，它將在RAM中建立一個虛擬檔案系統。然後，這將在您的隱身會話結束時被刪除，這樣就不會建立永久記錄。

根據最新的設計文件說明，如果使用者在非隱身模式瀏覽網頁，Chrome將繼續使用無力儲存的虛擬檔案系統，但是使用隱身模式時，Chrome 會將內容儲存到記憶體中。然後，與真實儲存機制不同的是，一旦使用者離開了當前網站，相關資料就會被立即刪除，不會在硬碟中留下任何痕跡。

使用上面這種模式會出現的問題是：一些惡意網站可能會濫用所有記憶體，使瀏覽器崩潰。Google在後期會對記憶體佔用大小做出說明。

Google表示他們正在修改FileSystem API，以便在隱身模式下可以使用，而不會有隱私風險。

但是，在完全刪除FileSystem API之前，此解決方法可能會變成短期修復。如果Google發現在隱身模式使用者之外沒有看到任何合法用途，則可以刪除該功能。

該修復程式目前旨在作為Chrome 74的選擇加入功能，可通過“chrome：// flags” 實驗功能選單訪問。更新預計將在四月份時到來，之後有希望在Chrome 76中預設啟用。

參考來源：

• IT之家
•  開源中國