Mode navigation privée « plus privé » de Chrome: les sites Web peuvent toujours détecter que vous l'utilisez

Les développeurs de sites Web ont déjà élaboré des méthodes pour contourner les efforts récents de Google visant à les empêcher de détecter lorsque Chrome est en mode navigation privée.

Le mois dernier seulement, Google a annoncé qu'il modifiait l'API du système de fichiers de Chrome, quels sites utilisent pour stocker des fichiers temporaires ou permanents.

Auparavant, si l'API n'était pas disponible, un site Web pouvait supposer que le navigateur était en mode navigation privée. Google a également promis de désactiver toute nouvelle méthode permettant de détecter lorsqu'un navigateur est en mode navigation privée.

Certains sites Web d'actualités tentent de détecter quand Chrome est en mode privé pour appliquer des limites d'articles gratuits et demander aux visiteurs de passer aux onglets normaux.

Les changements apportés au L'API du système de fichiers est arrivée dans Chrome 76 en le mettant à disposition des sites Web en mode privé, les empêchant ainsi d'utiliser son absence comme proxy pour détecter le mode Incognito.

Mais la sécurité le chercheur Vikas Mishra a récemment découvert que les éditeurs pourraient savoir si un onglet est en mode navigation privée en examinant la quantité d'espace que l'API met à la disposition d'un site Web.

Mishra a découvert qu'en utilisant une autre API qui gère le quota attribué à la quantité d'espace d'un site Web a dans le stockage temporaire - RAM plutôt que disque - il était possible de déduire quand un navigateur est en mode Incognito mode.

VOIR: 60 mauvaises habitudes que les professionnels de l'informatique doivent éliminer (TechRépublique)

Les « principales différences dans le quota de stockage TEMPORAIRE entre les modes Incognito et non-Incognito sont les suivantes: En mode navigation privée, il y a une limite stricte de 120 Mo alors que ce n'est pas le cas pour les fenêtres non-incognito", Mishra a écrit. Le quota disponible en mode normal est bien supérieur à 120 Mo.

Un autre chercheur en sécurité, Jesse Li, s'est appuyé sur cette technique en mesurer la vitesse des écritures sur l'API de quota. Li a constaté que les vitesses d'écriture en mode normal sont à la fois plus lentes et varient plus considérablement qu'un navigateur en mode Incognito.

Li note que sa technique est plus lente et moins fiable que les techniques existantes. Cependant, il est également plus difficile à mettre à jour en raison de la décision technique de stocker les données en mémoire plutôt que sur disque. Il pense que le seul moyen de bloquer cette technique est que le mode Incognito et le mode normal utilisent le même stockage.

Développeurs Chrome travaillons sur un correctif pour les bogues de quota et de timing, décrits comme les deux surfaces liées pour la détection en mode navigation privée à l'aide de l'API Filesystem. Comme indiqué dans le rapport de bug, le New York Times utilise déjà la méthode de détection de quotas pour savoir quand Chrome est en mode navigation privée.

En savoir plus sur Google Chrome

• Google: nous vous offrirons une meilleure protection contre les logiciels malveillants dans Chrome, mais uniquement si vous vous connectez
• Chrome sur Android: les pirates de phishing peuvent désormais vous tromper avec une fausse barre d'adresse
• Firefox pour obtenir un générateur de mots de passe aléatoires, comme Chrome
• Google Chrome 75 publié avec le mode lecteur secret
• Google: les utilisateurs G Suite à haut risque bénéficient désormais de la même sécurité avancée que celle que nous utilisons en interne
• La nouvelle sécurité Gmail de Google: si vous êtes une cible de grande valeur, vous utiliserez des clés physiques
• Google va supprimer Chromec'est construit-dans Protection XSS (Auditeur XSS)
• La moitié de toutes les extensions GoogleChrome ont moins de 16 installations
• La différence entre Gmail, un compte Google et les comptes G Suite TechRépublique
• Mode confidentiel Gmail pour G Suite lancé en juin CNET