Förra månaden rapporterade vi Googles plan att fixa en lucka i FileSystem API som används av webbplatser för att upptäcka om användare får åtkomst till det genom inkognitoläge. Medan dessa förbättringar har genomförts, kan New York Times på något sätt upptäcka privata surfningssessioner när det gäller sina betalväggar.
Hur? Som TechDows rapporterar har två säkerhetsforskare – Vikas Mishra och Jesse Li – upptäckt hur webbplatser kan arbeta kring Googles skydd. Webbplatsen kontrollerade tidigare om ett samtal till FileSystem API ber om att skriva direkt till användarens hårddisk gav ett fel som en indikation på att inkognitoläge var aktiverat. Google fixar detta genom att be Chrome skriva data till RAM och sedan ta bort dem omedelbart.
Webbplatser kan emellertid nu använda Quota Management API för att utnyttja skillnader i det sätt på vilket tillfälliga lagringskurser skiljer sig mellan Incognito och normala söklägen. På liknande sätt kan webbplatser också spåra skrivhastighet för att avgöra om data skrivs till hårddisken eller RAM, eftersom skrivhastigheten på RAM är betydligt snabbare. Detta kan vara ett annat indirekt sätt att upptäcka om en användare har privat surfning aktiverat.
Google lovade att prioritera användarnas integritet när de tillkännagav förbättringar av FileSystem API och lovade att förbättra alla sätt att upptäcka inkognitoläge i framtiden. Med tanke på dess ord har webbläsarutvecklare gjort felrapporter för dessa två kryphål och kommer troligen att fixa dem inom en snar framtid.
Källor: Vikas Mishra, Jesse Li via TechDows
