パスワードを忘れた? アカウント作成
13982710 story
Chrome

Chromeのシークレットモードを検知できる手法はまだ残っている 21

ストーリー by hylom
お手軽な逃げ道を塞ぐ感じなのか 部門より

Anonymous Coward曰く、

7月にリリースされたChrome 76では、JavaScriptを使ってブラウザがシークレットモードで動作しているかどうか検出する手法に対する対策が導入された(過去記事)。しかし、この仕組みを回避する手法が導入されたという(CNET JapanINTERNET Watch)。

シークレットモードで動作している場合、「FileSystem API」は利用できないことから、今まではこれを利用してシークレットモードかどうかの判定ができたという。しかし、Chrome 76ではシークレットモードでFileSystem APIを利用した場合、Chromeによって作られた仮想ファイルシステムがあたかも端末のファイルシステムのように振る舞うように変更されたため、FileSystem APIによる判定はできなくなった。

今回開発された手法は、「Quota Management API」を利用するというものだそうだ。具体的には、シークレットモードとそうでない場合ではテンポラリストレージの上限が異なることから、これえを使ってシークレットモードかどうかの判定ができるという。また、FileSystem APIの書き込み速度を測定することでも判断ができるそうだ。

シークレットモードの検出は、たとえば無料で閲覧できる記事数が制限されているようなサイトで使われているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年08月17日 6時27分 (#3670492)

    シークレットモードは別VMで動かして、本物と区別ができなくすればいい
    タブを閉じるとVMを消去すればいい

    • by Anonymous Coward

      VMであることを、パフォーマンス値などで予測される。ていうかそれ、今と ほぼほぼ同じでは。

      • by Anonymous Coward

        シークレットモード以外も、VMで動かせばいい。

        • by Anonymous Coward

          それすべて実機で動かすのと何が違うの?

          • by Anonymous Coward

            実機を毎回、初期化するならそうね。
            でも、面倒じゃない?
            VMの方が楽でしょ。

          • by Anonymous Coward

            何台も並べる場所がない。。

    • by Anonymous Coward

      むかしMicrosoftがXP Modeという名前でリリースしてたアレですね。みんな使わなかったけど、便利だった。
      タスクバーみたいなのも見えないようになってたし、ローカルのディスクにも特殊なやり方で繋がるようになってて考えられているなあと。
      Virtual PCベースだったんで遅かったのがネックでしたけど。

      • by Anonymous Coward

        VMじゃなくても、サイト単位でCookies等の情報を独立させてくれればいいんだけどなあ。
        サイトからはそのサイトにしかアクセスしていないように見える。
        実際はIPアドレスで紐づけされそうだけど。
        IPv6が普及すれば、サイトごとにIPアドレスもわけるようにしてもいいかも。

    • by Anonymous Coward

      プロファイルを分けて、再起動でクッキーとかデータストアとか消去するようにしとけば良いんじゃ無い?
      Chromeはプロファイルを分けて多重起動出来ないんだっけ?

    • by Anonymous Coward

      発想の行き先が当初のJava VMのそれと同じになっているような・・・

      今となってはクライアントサイドJavaなんて完全に死滅してしまいましたが・・・

  • by Anonymous Coward on 2019年08月17日 7時20分 (#3670494)

    便利な機能を使いたいサイトだけデータの保存を許可する方式でいいだろ

    • by Anonymous Coward

      それだと広告媒体であるGoogleが困るから必死なんでしょう。

      広告媒体として金をもらっている以上、その金の算出根拠を示す必要に迫られるわけで、
      その算出根拠を客観的に示すには、個人を識別する仕組みが絶対的に必要になるのです。
      (逆に言えば、何人が見ているかもわからない広告に金を出しますか?ってことです)

      とはいえ、一般ユーザはそう簡単に応じてくれませんから、少なくとも建前上は
      「個人を識別できなくなってます」ってことにしなければならないわけです。

      ですから、シークレットモードとは「Googleにだけ個人を識別できる仕組み」なわけで、
      その存在そのものが矛盾したものなのです。

      • by Anonymous Coward

        2ch時代のIDくらいで十分なのでは。。(時刻と掲示板IDを加味したハッシュで、24時間おきに、サイトおきに識別子が断続する

        • by Anonymous Coward

          誰が何をもって十分と思うかだけど、Googleとしては形だけは匿名化したデータがちゃんと個人と結びつく程度には永続的じゃないと商売として成り立たないと思われ。

          • by Anonymous Coward

            そういう情弱な人たちはGoogleアカウントにログインしたままサイト見続けるだろうから、それで十分。

            • by Anonymous Coward

              今はそんなレベルじゃない。アシスタントに持ち主が自分の声を登録している(使っている人はかなりの確率で登録している)PCの近くで会話するだけでアウト

      • by Anonymous Coward

        それを見越してのブラウザ開発(とモバイルos開発)だった訳だしね。

        当時は陰謀論みたいに扱っていたけど、本当に「陰謀」だったという…

    • by Anonymous Coward

      「もう」っていうか、それストーリーとは別件の話題だよね。オフトピってほどではないけど。
      それはそうしたいユーザーが常にシークレットモード使うだけでいいんじゃない。

      シークレットモードはブラウザ側の理論上可能な限りユーザーの行動痕跡を無くすためのモードだけど、
      それ自体を検出されてしまう自己矛盾が機能的に美しくないんだろうな。

    • by Anonymous Coward

      Firefoxだと履歴を保存せず、Cookieを現在のセッションのみ保持、トラッキング防止を厳格にすることでデフォルトでプライベートブラウジング相当になるようです。拡張機能もプライベートモードでの許可をしないと動作しませんでした。

  • by Anonymous Coward on 2019年08月17日 7時36分 (#3670496)

    歴史は繰り返すなぁ

  • by Anonymous Coward on 2019年08月18日 3時01分 (#3670805)

    悪質なSEOをするサイトの検索ランキングを下げて言うこと聞かせてきたみたいに
    FileSystem APIを悪用するサイトをGoogle八分すれば解決する問題だよコレは
    AMPで既にやってるでしょ?

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...