The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Найден метод для определения просмотра в режиме инкогнито в ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от opennews (??), 06-Авг-19, 10:18 
В Chrome 76 была прикрыта (https://www.opennet.ru/opennews/art.shtml?num=51122) лазейка в реализации FileSystem API, позволяющая определить из web-приложения применение режима инкогнито. Начиная с Chrome 76 вместо блокировки доступа к FileSystem API, которая использовалась как признак активности режима инкогнито, браузер перестал ограничивать FileSystem API, но очищал вносимые изменения после сеанса. Как оказалось, новая реализация имеет (https://blog.jse.li/posts/chrome-76-incognito-filesystem-timing/) недостатки, позволяющие как и раньше определять активность режима инкогнито.


Суть проблемы в том, что сеанс с FileSystem API в режиме инкогнито является временным, а данные не сохраняются на диск и держатся в оперативной памяти. Соответственно, измеряя (https://github.com/veggiedefender/chrome-filesystem-timing) время сохранения данных через FileSystem API и возникающие отклонения (при сохранении в ОЗУ фиксируются постоянные характеристики, в то время как при записи на диск задержки меняются) можно достаточно уверенно судить просматривается страница в режиме инкогнито или нет. Недостатком метода является  достаточно длительный процесс измерения отклонений, который может занять до нескольких минут (демонстрация (https://jse.li/chrome-filesystem-timing/)).


При этом в Chrome 76 остаётся неисправлена ещё одна проблема (https://mishravikas.com/articles/2019-07/bypassing-anti-inco...), позволяющая судить об активности режима инкогнито на основании оценки устанавливаемых ограничений через API Quota Management (https://developer.chrome.com/apps/offline_storage#managing_q...). Для применяемого в режиме инкогнито временного хранилища устанавливаются иные лимиты, чем при полноценном хранении на диске.

Напомним, что в определении режима инкогнито заинтересованы сайты, работающие по модели предоставления полного доступа по платной подписке (paywall). Для привлечения новой аудитории подобные сайты предоставляют новым пользователями на какое-то время демонстрационный полный доступ, что активно используется для обхода paywall. Самым простым способом получить доступ к платному контенту в таких системах является использование режима инкогнито, при котором сайт считает, что пользователь открыл страницу первый раз. Издателей такое поведение не устраивает, поэтому они последнее время активно использовали связанную с FileSystem API лазейку для блокировки доступа к сайту при активном режиме инкогнито и вывода требования отключить данный режим для продолжения просмотра.

URL: https://blog.jse.li/posts/chrome-76-incognito-filesystem-timing/
Новость: https://www.opennet.ru/opennews/art.shtml?num=51226

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от Qwerty (??), 06-Авг-19, 10:18 
Это не баг, а фича.
Фича не для end-user, конечно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Найден метод для определения просмотра в режиме инкогнито в ..."  +4 +/
Сообщение от Гений (??), 06-Авг-19, 10:22 
а если профиль браузера и так сидит в RAM-диске, то как они собираются ловить отклонения?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Найден метод для определения просмотра в режиме инкогнито в ..."  +11 +/
Сообщение от Crazy Alex (ok), 06-Авг-19, 10:27 
Никак, они на массы ориентируются
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от тестер (?), 06-Авг-19, 11:10 
Chromium с profile-sync-daemon не выдаёт задержек и по этому подходу детектируется как инкогнито
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Найден метод для определения просмотра в режиме инкогнито в ..."  +3 +/
Сообщение от Аноним (5), 06-Авг-19, 11:15 
Достаточно добавить сохранение на диск в папку /tmp всякой ерунды равной по размеру тому, что сохраяется в памяти перед возвратом из функции и тогда будут необходимые задержки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Найден метод для определения просмотра в режиме инкогнито в ..."  +2 +/
Сообщение от Аноним (5), 06-Авг-19, 11:18 
Гениально!
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

27. "Найден метод для определения просмотра в режиме инкогнито в ..."  –1 +/
Сообщение от тщт (?), 06-Авг-19, 23:26 
1) кэш фс и так все в память пихает пока она есть, поэтому, видимо тест такой долгий, чтобы началась реальная запись,

2) папка-тмп, в большенстве осей есть рам-диск

так что нет

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от имя (?), 06-Авг-19, 11:36 
А можно и не писать вовсе, а просто рандомные задержки создавать. Костыли-костылики, придумать можно много всякого.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

29. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от Аноним (29), 07-Авг-19, 01:48 
Зачем? Достаточно измерить задержки один раз на зоопарке железа в Гугле, после поставлять параметры распределения, из которого сэмплировать задержки, вместе с браузером.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Найден метод для определения просмотра в режиме инкогнито в ..."  +2 +/
Сообщение от svsd_val (ok), 06-Авг-19, 11:39 
Оказывается и так можно а то Я paywall обходил прикидываясь ботом гугла %)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Найден метод для определения просмотра в режиме инкогнито в ..."  +11 +/
Сообщение от AlexYeCu_not_logged (?), 06-Авг-19, 11:47 
А в чём проблема-то?
Просто исходя из функционала инкогнито?
По сути это же «чтобы сайты на компе не мусорили и не лезли в сохранённый мусор» — этот функционал не страдает, а большего никто и не обещал.

А на распространителей контента начхать: они вечно чего-то там требуют, то AdBlock им отключи, то карту банковскую засвети, теперь вот режим инкогнито не устраивает. Закрыл сайт — пошёл мимо.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от AlexYeCu_not_logged (?), 06-Авг-19, 11:49 
И кстати. В случае с платными сайтами. А в чём проблема куки выборочно поудалять? Т. е. это так себе защитный механизм, в общем-то.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от анон (?), 06-Авг-19, 12:42 
ни в чем, все так и делают, куки для доверенных сайтов оставляют, а для других автоснос ставят: хранить до вкладки, хранить до перезапуска.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

24. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от Аноним (24), 06-Авг-19, 14:55 
Насколько я помню, в Firefox 24 и более ранних версиях можно было запретить куки, кроме исключений, и авторизация работала.
Теперь теоретически так тоже можно сделать, но фактически авторизоваться можно, только если разрешены все куки (кроме сторонних сайтов).
Интересно, что там испортили так, что выборочное разрешение кук перестало работать?

В Pale Moon вроде пока все нормально.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

30. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от Аноним (30), 07-Авг-19, 07:51 
Даже не знал что такой функционал был нативно. Как бы там не было, функционал сохранения выборочных кук есть, наверное, в любом ныне существующем аддоне для их автоудаления
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

11. Скрыто модератором  –1 +/
Сообщение от Аноним (11), 06-Авг-19, 12:09 
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. Скрыто модератором  –1 +/
Сообщение от Аноним (11), 06-Авг-19, 12:09 
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от Аноним (13), 06-Авг-19, 12:15 
> Как оказалось, новая реализация имеет недостатки

Да там особо не старались, приложили подорожник, изобразили вид деятельности. Там, поди, ещё 1000 и 1 вектор определения.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от НяшМяш (ok), 06-Авг-19, 13:29 
Для себя делали, вестимо.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Найден метод для определения просмотра в режиме инкогнито в ..."  +1 +/
Сообщение от Ivan_83 (ok), 06-Авг-19, 12:16 
Достали уже, загрубить таймер до секунды.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от Аноним (21), 06-Авг-19, 14:29 
Лучше до 15 минут. Точность: "без четверти 12" :)
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

23. "Найден метод для определения просмотра в режиме инкогнито в ..."  +1 +/
Сообщение от Аноним_t (?), 06-Авг-19, 14:46 
Так вроде уже загрубляли, чтобы от Meltdown или Spectre защищаться. Или отпять уточнили?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

26. "Найден метод для определения просмотра в режиме инкогнито в ..."  +1 +/
Сообщение от Ivan_83 (ok), 06-Авг-19, 16:17 
Скорее всего не достаточно загрубили.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

15. "Найден метод для определения просмотра в режиме инкогнито в ..."  –1 +/
Сообщение от Ilya Indigo (ok), 06-Авг-19, 12:33 
> Напомним, что в определении режима инкогнито заинтересованы сайты, работающие по модели предоставления полного доступа по платной подписке (paywall).

Да напишите уже прямо - эротические видеочаты!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Найден метод для определения просмотра в режиме инкогнито в ..."  –1 +/
Сообщение от Гость (??), 06-Авг-19, 12:50 
в видеочатах чаще просто "токены", а платные подписки вовсе не обязательно даже для чегото эротического, фильмы-сериалы..
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от Hewlett Packard (?), 06-Авг-19, 13:30 
Wall Street Journal гораздо дороже будет чем десяток эротических видеочатов.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от iCat (ok), 06-Авг-19, 14:01 
Кругом - бабло...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от Hewlett Packard (?), 06-Авг-19, 16:01 
Пробовали и по карточкам распределять, и не раз, но как-то не пошло.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Найден метод для определения просмотра в режиме инкогнито в ..."  +1 +/
Сообщение от Аноним (22), 06-Авг-19, 14:30 
че-то демонстрация в режиме инкогнито тоже выдала разные результаты:
...1844,1687,1625,1621,1600,1616,1640,2069,1741,1634,1361,1115,1106,1102,1108,1112,1117,1122,1126,1122,1180,1499,1195,1200,1173,1314,1158,1138,1140,1139,1123...
так что весьма сомнительный метод
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от Аноним (29), 07-Авг-19, 01:45 
>Издателей такое поведение не устраивает, поэтому они активно использовали связанную с FileSystem API лазейку для вывода требования отключить режим инкогнито для продолжения просмотра.

Кончится это тем, что будут требовать "бесплатной" привязки мобильного для одноразовой активации "бесплатного" режима. После телефон заносится в базу, а база продаётся data-брокерам.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Найден метод для определения просмотра в режиме инкогнито в ..."  +/
Сообщение от Аноним (31), 07-Авг-19, 16:55 
"Chrome 76" и "инкогнито" - две взаимоисключающие друг друга понятия.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру