URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 118064
[ Назад ]
Исходное сообщение
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено opennews , 06-Авг-19 10:18 
В Chrome 76 была прикрыта (https://www.opennet.dev/opennews/art.shtml?num=51122) лазейка в реализации FileSystem API, позволяющая определить из web-приложения применение режима инкогнито. Начиная с Chrome 76 вместо блокировки доступа к FileSystem API, которая использовалась как признак активности режима инкогнито, браузер перестал ограничивать FileSystem API, но очищал вносимые изменения после сеанса. Как оказалось, новая реализация имеет (https://blog.jse.li/posts/chrome-76-incognito-filesystem-timing/) недостатки, позволяющие как и раньше определять активность режима инкогнито.


Суть проблемы в том, что сеанс с FileSystem API в режиме инкогнито является временным, а данные не сохраняются на диск и держатся в оперативной памяти. Соответственно, измеряя (https://github.com/veggiedefender/chrome-filesystem-timing) время сохранения данных через FileSystem API и возникающие отклонения (при сохранении в ОЗУ фиксируются постоянные характеристики, в то время как при записи на диск задержки меняются) можно достаточно уверенно судить просматривается страница в режиме инкогнито или нет. Недостатком метода является  достаточно длительный процесс измерения отклонений, который может занять до нескольких минут (демонстрация (https://jse.li/chrome-filesystem-timing/)).


При этом в Chrome 76 остаётся неисправлена ещё одна проблема (https://mishravikas.com/articles/2019-07/bypassing-anti-inco...), позволяющая судить об активности режима инкогнито на основании оценки устанавливаемых ограничений через API Quota Management (https://developer.chrome.com/apps/offline_storage#managing_q...). Для применяемого в режиме инкогнито временного хранилища устанавливаются иные лимиты, чем при полноценном хранении на диске.

Напомним, что в определении режима инкогнито заинтересованы сайты, работающие по модели предоставления полного доступа по платной подписке (paywall). Для привлечения новой аудитории подобные сайты предоставляют новым пользователями на какое-то время демонстрационный полный доступ, что активно используется для обхода paywall. Самым простым способом получить доступ к платному контенту в таких системах является использование режима инкогнито, при котором сайт считает, что пользователь открыл страницу первый раз. Издателей такое поведение не устраивает, поэтому они последнее время активно использовали связанную с FileSystem API лазейку для блокировки доступа к сайту при активном режиме инкогнито и вывода требования отключить данный режим для продолжения просмотра.

URL: https://blog.jse.li/posts/chrome-76-incognito-filesystem-timing/
Новость: https://www.opennet.dev/opennews/art.shtml?num=51226

Содержание
Сообщения в этом обсуждении
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Qwerty , 06-Авг-19 10:18 
Это не баг, а фича.
Фича не для end-user, конечно.
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Гений , 06-Авг-19 10:22 
а если профиль браузера и так сидит в RAM-диске, то как они собираются ловить отклонения?
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Crazy Alex , 06-Авг-19 10:27 
Никак, они на массы ориентируются
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено тестер , 06-Авг-19 11:10 
Chromium с profile-sync-daemon не выдаёт задержек и по этому подходу детектируется как инкогнито
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Аноним , 06-Авг-19 11:15 
Достаточно добавить сохранение на диск в папку /tmp всякой ерунды равной по размеру тому, что сохраяется в памяти перед возвратом из функции и тогда будут необходимые задержки.
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Аноним , 06-Авг-19 11:18 
Гениально!
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено тщт , 06-Авг-19 23:26 
1) кэш фс и так все в память пихает пока она есть, поэтому, видимо тест такой долгий, чтобы началась реальная запись,

2) папка-тмп, в большенстве осей есть рам-диск

так что нет

"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено имя , 06-Авг-19 11:36 
А можно и не писать вовсе, а просто рандомные задержки создавать. Костыли-костылики, придумать можно много всякого.
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Аноним , 07-Авг-19 01:48 
Зачем? Достаточно измерить задержки один раз на зоопарке железа в Гугле, после поставлять параметры распределения, из которого сэмплировать задержки, вместе с браузером.
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено svsd_val , 06-Авг-19 11:39 
Оказывается и так можно а то Я paywall обходил прикидываясь ботом гугла %)
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено AlexYeCu_not_logged , 06-Авг-19 11:47 
А в чём проблема-то?
Просто исходя из функционала инкогнито?
По сути это же «чтобы сайты на компе не мусорили и не лезли в сохранённый мусор» — этот функционал не страдает, а большего никто и не обещал.

А на распространителей контента начхать: они вечно чего-то там требуют, то AdBlock им отключи, то карту банковскую засвети, теперь вот режим инкогнито не устраивает. Закрыл сайт — пошёл мимо.

"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено AlexYeCu_not_logged , 06-Авг-19 11:49 
И кстати. В случае с платными сайтами. А в чём проблема куки выборочно поудалять? Т. е. это так себе защитный механизм, в общем-то.
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено анон , 06-Авг-19 12:42 
ни в чем, все так и делают, куки для доверенных сайтов оставляют, а для других автоснос ставят: хранить до вкладки, хранить до перезапуска.
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Аноним , 06-Авг-19 14:55 
Насколько я помню, в Firefox 24 и более ранних версиях можно было запретить куки, кроме исключений, и авторизация работала.
Теперь теоретически так тоже можно сделать, но фактически авторизоваться можно, только если разрешены все куки (кроме сторонних сайтов).
Интересно, что там испортили так, что выборочное разрешение кук перестало работать?

В Pale Moon вроде пока все нормально.

"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Аноним , 07-Авг-19 07:51 
Даже не знал что такой функционал был нативно. Как бы там не было, функционал сохранения выборочных кук есть, наверное, в любом ныне существующем аддоне для их автоудаления
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Аноним , 06-Авг-19 12:09 
Сначала прочитал как Systemd76, производитель ноутбуков на Линуксе
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Аноним , 06-Авг-19 12:09 
System76
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Аноним , 06-Авг-19 12:15 
> Как оказалось, новая реализация имеет недостатки

Да там особо не старались, приложили подорожник, изобразили вид деятельности. Там, поди, ещё 1000 и 1 вектор определения.

"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено НяшМяш , 06-Авг-19 13:29 
Для себя делали, вестимо.
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Ivan_83 , 06-Авг-19 12:16 
Достали уже, загрубить таймер до секунды.
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Аноним , 06-Авг-19 14:29 
Лучше до 15 минут. Точность: "без четверти 12" :)
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Аноним_t , 06-Авг-19 14:46 
Так вроде уже загрубляли, чтобы от Meltdown или Spectre защищаться. Или отпять уточнили?
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Ivan_83 , 06-Авг-19 16:17 
Скорее всего не достаточно загрубили.
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Ilya Indigo , 06-Авг-19 12:33 
> Напомним, что в определении режима инкогнито заинтересованы сайты, работающие по модели предоставления полного доступа по платной подписке (paywall).

Да напишите уже прямо - эротические видеочаты!

"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Гость , 06-Авг-19 12:50 
в видеочатах чаще просто "токены", а платные подписки вовсе не обязательно даже для чегото эротического, фильмы-сериалы..
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Hewlett Packard , 06-Авг-19 13:30 
Wall Street Journal гораздо дороже будет чем десяток эротических видеочатов.
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено iCat , 06-Авг-19 14:01 
Кругом - бабло...
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Hewlett Packard , 06-Авг-19 16:01 
Пробовали и по карточкам распределять, и не раз, но как-то не пошло.
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Аноним , 06-Авг-19 14:30 
че-то демонстрация в режиме инкогнито тоже выдала разные результаты:
...1844,1687,1625,1621,1600,1616,1640,2069,1741,1634,1361,1115,1106,1102,1108,1112,1117,1122,1126,1122,1180,1499,1195,1200,1173,1314,1158,1138,1140,1139,1123...
так что весьма сомнительный метод
"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Аноним , 07-Авг-19 01:45 
>Издателей такое поведение не устраивает, поэтому они активно использовали связанную с FileSystem API лазейку для вывода требования отключить режим инкогнито для продолжения просмотра.

Кончится это тем, что будут требовать "бесплатной" привязки мобильного для одноразовой активации "бесплатного" режима. После телефон заносится в базу, а база продаётся data-брокерам.

"Найден метод для определения просмотра в режиме инкогнито в ..."
Отправлено Аноним , 07-Авг-19 16:55 
"Chrome 76" и "инкогнито" - две взаимоисключающие друг друга понятия.