I tidligere versjoner av Chrome har nettsider hatt mulighet til å sjekke om besøkende har Inkognito-modus skrudd på.
Fra og med Chrome 76 kan imidlertid ikke nettsider undersøke om FileSystem API er tilgjengelig. Når nettsidene mister denne muligheten, betyr det at det blir umulig å avgjøre om brukeren har Inkognito-modus på eller ikke.
Trodde vi.
Tettet hull, men det var ikke nok
For The New York Times klarer fortsatt å identifisere om brukeren befinner seg i Inkognito-modus eller ikke.
Annonse
TechDows mener de har svaret på hvorfor. Sikkerhetsekspertene Vikas Mishra og Jesse Li har nemlig funnet ut hvordan nettsider kan komme seg forbi Googles beskyttelser. Tidligere sjekket nettsider om FileSystem API, som ber om å skrive direkte til harddisken, returnerte en feil. Dersom man fikk feilmelding, var Inkognito-modus påskrudd.
Google rettet dette problemet ved å få Chrome til å skrive data til datamaskinens minne istedet.
Lurer seg forbi
Men nå kan nettsider bruke Quota Management API for å utnytte forskjeller i måten midlertidig lagringskvoter oppfører seg på mellom Inkognito-modus og vanlig surfing. I tillegg kan nettsider også spore skrivehastighetene for å avgjøre om dataen skrives til harddisken eller minnet (RAM). Ettersom skrivehastigheten er raskere via minnet kan dette være en indikator på hvorvidt brukeren har aktivert Inkognito-modus eller ei.
Fikses trolig
Google har tidligere lovt at Chrome ikke skal avsløre om brukeren har privat surfing påskrudd eller ikke. Chrome-utviklere har allerede opprettet en feilrapport for begge av disse hullene, så vi skal ikke se bort i fra at selskapet lanserer en feilretting om kort tid.
Kilde:
Neowin
Annonse
