APP下载

Chrome将修正档案系统API漏洞,网站不再能以漏洞侦测无痕模式使用与否

消息来源:baojiabao.com 作者: 发布时间:2024-03-19

报价宝综合消息Chrome将修正档案系统API漏洞,网站不再能以漏洞侦测无痕模式使用与否

 

Google将在7月30日释出的Chrome 76中,修正档案系统API的漏洞,由于这个漏洞能让网站侦测用户是否正使用Chrome无痕模式,因此将影响以该漏洞防止用户规避计次付费墙(Paywall)收费模式的媒体网站,Google要这些网站提早做准备,变更收费策略或使用另外的侦测技术,并对网站进行全面的测试。

当用户使用Chrome无痕模式浏览网站时,网站可以使用Chrome档案系统(FileSystem)API的漏洞,侦测用户正在使用无痕模式。在预设情况下,Chrome在无痕模式时会禁用档案系统API,以避免在装置上留下任何活动的痕迹,但是网站可以检查浏览器档案系统API的可用性,当收到回传为错误讯息时,网站便能知道用户使用无痕模式,并给予不同的用户体验。

不少媒体网站使用计次付费墙收费模式,计次付费墙与强迫用户登入网站的收费方式不同,计次付费墙让用户不需要登入网站,就能浏览一定数量的内容,超过免费数量后,才会要求用户登入订阅账户,但不少用户会使用Chrome无痕模式,规避计次付费墙的Cookie追踪,以无限制地浏览网站内容。

而这个漏洞著名的用法之一,就是被媒体网站拿来确认用户是否使用无痕模式,当网站发现用户开启无痕模式时,就能强制要求用户登入,或是切换到一般浏览模式,但现在Google要修掉档案系统API的漏洞,而这将会影响使用这个漏洞的媒体网站,无法判断用户是否正在使用无痕模式,也就无法防止用户规避免费浏览数量的追踪。

Google提到,本身使用Cookie追踪的计次付费墙模式就很容易被破解,因为这项功能仰赖网站追踪用户浏览免费文章数量的能力,当网站以Cookie进行追踪,用户很容易就能使用浏览器无痕模式重置Cookie。

为此Google也强调,用户使用无痕模式浏览有其隐私原因,可能想在共享或是借用的装置上保持隐私,甚至是在政治压迫或是家庭虐待的情况下使用,才必须要隐藏在网络上的活动,无论如何,使用者有自己安全上的考量。Google认为要贯彻无痕模式的原则,因此将会在7月30日发布的Chrome 76,修正档案系统API可用来侦测无痕模式的漏洞,而且未来在也会继续解决其他无痕模式侦测问题。

Google建议采用计次付费墙模式的网站,可以减少登入前可查看免费文章的数量,或要求所有用户注册免费账号,登入以浏览网站内容,甚至是开发新的计次付费墙追踪功能。由于档案系统API漏洞经修复后,现行的付费墙功能可能产生无法预期的行为,Google提醒,网站不只要对无痕模式用户进行测试,也要测试网站在一般浏览模式下的行为。

2019-07-22 18:51:00

相关文章