Google将在7月30日发布的Chrome 76中,修正文件系统API的漏洞,由于这个漏洞能让网站侦测用户是否正使用Chrome无痕模式,因此将影响以该漏洞防止用户规避计次付费墙(Paywall)收费模式的媒体网站,Google要这些网站提早做准备,变更收费策略或使用另外的侦测技术,并对网站进行全面的测试。
当用户使用Chrome无痕模式浏览网站时,网站可以使用Chrome文件系统(FileSystem)API的漏洞,侦测用户正在使用无痕模式。在默认情况下,Chrome在无痕模式时会禁用文件系统API,以避免在设备上留下任何活动的痕迹,但是网站可以检查浏览器文件系统API的可用性,当收到回传为错误消息时,网站便能知道用户使用无痕模式,并给给不同的用户体验。
不少媒体网站使用计次付费墙收费模式,计次付费墙与强迫用户登录网站的收费方式不同,计次付费墙让用户不需要登录网站,就能浏览一定数量的内容,超过免费数量后,才会要求用户登录订阅账户,但不少用户会使用Chrome无痕模式,规避计次付费墙的Cookie关注,以无限制地浏览网站内容。
而这个漏洞著名的用法之一,就是被媒体网站拿来确认用户是否使用无痕模式,当网站发现用户打开无痕模式时,就能强制要求用户登录,或是切换到一般浏览模式,但现在Google要修掉文件系统API的漏洞,而这将会影响使用这个漏洞的媒体网站,无法判断用户是否正在使用无痕模式,也就无法防止用户规避免费浏览数量的关注。
Google提到,本身使用Cookie关注的计次付费墙模式就很容易被破解,因为这项功能依赖网站关注用户浏览免费文章数量的能力,当网站以Cookie进行关注,用户很容易就能使用浏览器无痕模式重置Cookie。
为此Google也强调,用户使用无痕模式浏览有其隐私原因,可能想在共享或是借用的设备上保持隐私,甚至是在政治压迫或是家庭虐待的情况下使用,才必须要隐藏在网络上的活动,无论如何,用户有自己安全上的考量。Google认为要贯彻无痕模式的原则,因此将会在7月30日发布的Chrome 76,修正文件系统API可用来侦测无痕模式的漏洞,而且未来在也会继续解决其他无痕模式侦测问题。
Google建议采用计次付费墙模式的网站,可以减少登录前可审查免费文章的数量,或要求所有用户注册免费帐号,登录以浏览网站内容,甚至是开发新的计次付费墙关注功能。由于文件系统API漏洞经修复后,现行的付费墙功能可能产生无法预期的行为,Google提醒,网站不只要对无痕模式用户进行测试,也要测试网站在一般浏览模式下的行为。