Chrome 隱私模式爆漏洞,使用者無處隱身

Editor發表於2019-02-20

為了避免被廣告追蹤和被網站知曉自己的瀏覽器歷史記錄,以谷歌 Chrome 為代表的現代瀏覽器,紛紛引入了“隱身模式”。 藉助FileSystem API,Chrome 隱身模式會阻止網站在使用者裝置中儲存臨時資料。


但是一個開放的漏洞利用,卻讓別有用心的網站能夠檢測使用者是否處於反追蹤的“無痕模式”。據悉,該問題與 Web 開發側的隱身模式檢測有關。這是一種隱私洩漏行為。Google 目前正在考慮修改 Chrome 的相關 API,來杜絕這種行為。


Chrome 隱私模式爆漏洞,使用者無處隱身


據外媒報導,谷歌Chrome瀏覽器的未來版本將修復一個漏洞,該漏洞能讓網站檢測並阻止嘗試使用隱身模式訪問它們的使用者。


Chrome的隱身模式除了不儲存瀏覽歷史記錄外,也會阻止網站使用Cookie跟蹤你。但是,由於網路廣告收入的大部分依賴於此跟蹤資料,因此如果你使用此模式訪問網站,某些網站會阻止你閱讀他們的文章。


對於大多數使用者來說,這不是一個大問題。通常情況下,我們只是在網路上隨便逛逛而已。但是對於那些希望在隱身模式下來工作的人們來說,這個問題著實令人頭疼。


Chrome 隱私模式爆漏洞,使用者無處隱身


大多數網站通過嘗試使用“FileSystem”API來保護使用者隱私,該API在使用隱身模式時被禁用,因為它允許建立永久檔案。然而,最近提交給Chromium的原始碼顯示,該漏洞可使chrome網站相信其FileSystem API始終可用。


Chrome表示,當網站將來在瀏覽器處於隱身模式時請求使用API時,Chrome將不再回饋錯誤提示。相反,它將在RAM中建立一個虛擬檔案系統。然後,這將在您的隱身會話結束時被刪除,這樣就不會建立永久記錄。


Chrome 隱私模式爆漏洞,使用者無處隱身


根據最新的設計文件說明,如果使用者在非隱身模式瀏覽網頁,Chrome將繼續使用無力儲存的虛擬檔案系統,但是使用隱身模式時,Chrome 會將內容儲存到記憶體中。然後,與真實儲存機制不同的是,一旦使用者離開了當前網站,相關資料就會被立即刪除,不會在硬碟中留下任何痕跡。


使用上面這種模式會出現的問題是:一些惡意網站可能會濫用所有記憶體,使瀏覽器崩潰。Google在後期會對記憶體佔用大小做出說明。


Google表示他們正在修改FileSystem API,以便在隱身模式下可以使用,而不會有隱私風險。


但是,在完全刪除FileSystem API之前,此解決方法可能會變成短期修復。如果Google發現在隱身模式使用者之外沒有看到任何合法用途,則可以刪除該功能。


該修復程式目前旨在作為Chrome 74的選擇加入功能,可通過“chrome:// flags” 實驗功能選單訪問。更新預計將在四月份時到來,之後有希望在Chrome 76中預設啟用。


參考來源:

  • IT之家
  •  開源中國

更多資訊:

相關文章