GoogleはFileSystem APIの複数の抜け穴を認識しており、これらの欠陥を修正しようとしています。FileSystem API は、ユーザーがシークレット モードで Web サイトにアクセスしているかどうかを識別するために、さまざまなサイトで使用されていました。しかし、Googleは、すべての修正が実装されているわけではありません。ニューヨークタイムズはまだペイウォールのためのプライベートブラウジングセッションを検出することができます。つまり、完全にプライベート モードであっても、オンライン ニュースパブリッシャーはユーザーを検出できます。
この時点での本当の問題は、ニューヨークタイムズは、それが1つのシークレットモードであっても、どのようにユーザーを検出することができますか?この問題に答えるために、2人のセキュリティ研究者は、実際には、実装されている洗練されたGoogleの保護をバイパスするためにウェブサイトによって使用できる方法があったと説明しました。これを可能にするため、Web サイトは、システムがシークレット モードのときにエラーを返す際に役立つユーザーのハードドライブへの書き込みについて直接問い合わせる FileSystem API に対して何か呼び出しがあったかどうかを確認します。この問題を解決するために、GoogleはGoogle chromeにRAMにデータを書き込むように指示して修正を行いました。
この修正プログラムは Google の目で動作しましたが、ウェブサイトはクォータ管理 API を使用して、その違いを利用できます。主なものは、一時的なストレージクォータは、シークレットモードと通常のブラウジングとの間で異なっており、ウェブサイトはこの違いを埋めようとしたということです。これらのウェブサイトをバイパスすることで、データがRAMやハードドライブに書き込まれ始めているかどうかを確認するのに役立つ書き込み速度に目を光らせることもできます。Ram の書き込み速度のほとんどがハードドライブよりも比較的速いという理由だけで、これも重要です。これは、ユーザーのプライベートブラウジングの検出に役立つ別の間接的な平均として使用できます。
画像: APフォト/マーク・レニハン