Przeglądarka Google w najbliższej większej aktualizacji otrzyma „prawdziwy” tryb incognito. W teorii Chrome 76 dzięki zmianom w API ma nie pozwalać stronom internetowym rozpoznać, że korzystamy właśnie z tej funkcji. Nie oznacza to jednak, że nie będzie sposobu, aby w tym celu wykorzystać inne mechanizmy dostępne w Google Chrome.
Google łata lukę w przeglądarce
Chrome 76, który w stabilnym wydaniu powinien zostać udostępniony jeszcze w tym miesiącu, utrudni witrynom wykrywanie aktywnego trybu incognito. Od lat twórcy stron internetowych mogli bowiem za pomocą prostej sztuczki sprawdzić, w jaki sposób użytkownik Chrome’a przegląda witrynę.
Wspomniana sztuczka polega na wykorzystaniu API o nazwie FileSystem, które w sesji incognito nie jest dostępne. Odwołanie się do niego zwraca komunikat z błędem, co oczywiście pozwala ustalić, czy w Chrome włączony jest tryb incognito.
Wraz z wydaniem nowej wersji Chrome’a wprowadzone zostaną zmiany w API FileSystem w celu zaradzenia opisanej metodzie wykrywania incognito. W założeniach witryny będą miały znacznie trudniejsze zadanie, aby wyświetlić specjalną zawartość przygotowaną dla osób używających prywatnej sesji.
Nowy sposób na rozpoznanie aktywnego trybu incognito
Badacz bezpieczeństwa Vikas Mishra twierdzi, że znalazł nowe API, które można wykorzystać do wykrycia prywatnej sesji. Nazywa się ono Storage Quota Management i jest używane przez niektóre przeglądarki internetowe, w tym Google Chrome’a. API Storage Quota Managemen pozwala aplikacjom internetowym sprawdzić ile pamięci tymczasowej zostało przydzielone dla danego procesu.
Jak zauważa Vikas Mishra, podczas normalnego przeglądania łączna przydzielona pamięć masowa dla wszystkich aplikacji, wynosi najczęściej do 10% pojemności całego dysku twardego, maksymalnie jest to 2 GB w przypadku większych dysków. Aplikacje korzystające z pamięci tymczasowej mogą wykorzystać do 50% z tej wartości, czyli przykładowo 1 GB.
Aplikacje i strony internetowe mogą wysłać zapytanie o swój przydział, wywołując metodę queryUsageAndQuota() interfejsu API Quota. To właśnie ta sztuczka pozwala rozpoznać, czy korzystamy z trybu incognito. W sesji prywatnej górny limit przydzielonej pamięci wynosi 120 MB. Oznacza to, że użytkownik w tym momencie ma włączony tryb incognito lub posiada urządzenie z dyskiem 2,4 GB (zgodnie z danymi w powyższej tabeli). Oczywiście znacznie bardziej prawdopodobny jest ten pierwszy scenariusz.
źródło: 9to5Google, Vikas Mishra
