Chromeのシークレットモードを検知できる手法はまだ残っている 21
ストーリー by hylom
お手軽な逃げ道を塞ぐ感じなのか 部門より
お手軽な逃げ道を塞ぐ感じなのか 部門より
Anonymous Coward曰く、
7月にリリースされたChrome 76では、JavaScriptを使ってブラウザがシークレットモードで動作しているかどうか検出する手法に対する対策が導入された(過去記事)。しかし、この仕組みを回避する手法が導入されたという(CNET Japan、INTERNET Watch)。
シークレットモードで動作している場合、「FileSystem API」は利用できないことから、今まではこれを利用してシークレットモードかどうかの判定ができたという。しかし、Chrome 76ではシークレットモードでFileSystem APIを利用した場合、Chromeによって作られた仮想ファイルシステムがあたかも端末のファイルシステムのように振る舞うように変更されたため、FileSystem APIによる判定はできなくなった。
今回開発された手法は、「Quota Management API」を利用するというものだそうだ。具体的には、シークレットモードとそうでない場合ではテンポラリストレージの上限が異なることから、これえを使ってシークレットモードかどうかの判定ができるという。また、FileSystem APIの書き込み速度を測定することでも判断ができるそうだ。
シークレットモードの検出は、たとえば無料で閲覧できる記事数が制限されているようなサイトで使われているという。
シークレットモードは別VMを立てればいい (スコア:0)
シークレットモードは別VMで動かして、本物と区別ができなくすればいい
タブを閉じるとVMを消去すればいい
Re: (スコア:0)
VMであることを、パフォーマンス値などで予測される。ていうかそれ、今と ほぼほぼ同じでは。
Re: (スコア:0)
シークレットモード以外も、VMで動かせばいい。
Re: (スコア:0)
それすべて実機で動かすのと何が違うの?
Re: (スコア:0)
実機を毎回、初期化するならそうね。
でも、面倒じゃない?
VMの方が楽でしょ。
Re: (スコア:0)
何台も並べる場所がない。。
Re: (スコア:0)
むかしMicrosoftがXP Modeという名前でリリースしてたアレですね。みんな使わなかったけど、便利だった。
タスクバーみたいなのも見えないようになってたし、ローカルのディスクにも特殊なやり方で繋がるようになってて考えられているなあと。
Virtual PCベースだったんで遅かったのがネックでしたけど。
Re: (スコア:0)
VMじゃなくても、サイト単位でCookies等の情報を独立させてくれればいいんだけどなあ。
サイトからはそのサイトにしかアクセスしていないように見える。
実際はIPアドレスで紐づけされそうだけど。
IPv6が普及すれば、サイトごとにIPアドレスもわけるようにしてもいいかも。
Re: (スコア:0)
プロファイルを分けて、再起動でクッキーとかデータストアとか消去するようにしとけば良いんじゃ無い?
Chromeはプロファイルを分けて多重起動出来ないんだっけ?
Re: (スコア:0)
発想の行き先が当初のJava VMのそれと同じになっているような・・・
今となってはクライアントサイドJavaなんて完全に死滅してしまいましたが・・・
もうシークレットモードをデフォルトにしろよ (スコア:0)
便利な機能を使いたいサイトだけデータの保存を許可する方式でいいだろ
Re: (スコア:0)
それだと広告媒体であるGoogleが困るから必死なんでしょう。
広告媒体として金をもらっている以上、その金の算出根拠を示す必要に迫られるわけで、
その算出根拠を客観的に示すには、個人を識別する仕組みが絶対的に必要になるのです。
(逆に言えば、何人が見ているかもわからない広告に金を出しますか?ってことです)
とはいえ、一般ユーザはそう簡単に応じてくれませんから、少なくとも建前上は
「個人を識別できなくなってます」ってことにしなければならないわけです。
ですから、シークレットモードとは「Googleにだけ個人を識別できる仕組み」なわけで、
その存在そのものが矛盾したものなのです。
Re: (スコア:0)
2ch時代のIDくらいで十分なのでは。。(時刻と掲示板IDを加味したハッシュで、24時間おきに、サイトおきに識別子が断続する
Re: (スコア:0)
誰が何をもって十分と思うかだけど、Googleとしては形だけは匿名化したデータがちゃんと個人と結びつく程度には永続的じゃないと商売として成り立たないと思われ。
Re: (スコア:0)
そういう情弱な人たちはGoogleアカウントにログインしたままサイト見続けるだろうから、それで十分。
Re: (スコア:0)
今はそんなレベルじゃない。アシスタントに持ち主が自分の声を登録している(使っている人はかなりの確率で登録している)PCの近くで会話するだけでアウト
Re: (スコア:0)
それを見越してのブラウザ開発(とモバイルos開発)だった訳だしね。
当時は陰謀論みたいに扱っていたけど、本当に「陰謀」だったという…
Re: (スコア:0)
「もう」っていうか、それストーリーとは別件の話題だよね。オフトピってほどではないけど。
それはそうしたいユーザーが常にシークレットモード使うだけでいいんじゃない。
シークレットモードはブラウザ側の理論上可能な限りユーザーの行動痕跡を無くすためのモードだけど、
それ自体を検出されてしまう自己矛盾が機能的に美しくないんだろうな。
Re: (スコア:0)
Firefoxだと履歴を保存せず、Cookieを現在のセッションのみ保持、トラッキング防止を厳格にすることでデフォルトでプライベートブラウジング相当になるようです。拡張機能もプライベートモードでの許可をしないと動作しませんでした。
フロッピーディスク時代のプロテクトみたい (スコア:0)
歴史は繰り返すなぁ
いつものやり方 (スコア:0)
悪質なSEOをするサイトの検索ランキングを下げて言うこと聞かせてきたみたいに
FileSystem APIを悪用するサイトをGoogle八分すれば解決する問題だよコレは
AMPで既にやってるでしょ?