Google將在7月30日釋出的Chrome 76中,修正檔案系統API的漏洞,由於這個漏洞能讓網站偵測用戶是否正使用Chrome無痕模式,因此將影響以該漏洞防止用戶規避計次付費牆(Paywall)收費模式的媒體網站,Google要這些網站提早做準備,變更收費策略或使用另外的偵測技術,並對網站進行全面的測試。

當用戶使用Chrome無痕模式瀏覽網站時,網站可以使用Chrome檔案系統(FileSystem)API的漏洞,偵測用戶正在使用無痕模式。在預設情況下,Chrome在無痕模式時會禁用檔案系統API,以避免在裝置上留下任何活動的痕跡,但是網站可以檢查瀏覽器檔案系統API的可用性,當收到回傳為錯誤訊息時,網站便能知道用戶使用無痕模式,並給予不同的用戶體驗。

不少媒體網站使用計次付費牆收費模式,計次付費牆與強迫用戶登入網站的收費方式不同,計次付費牆讓用戶不需要登入網站,就能瀏覽一定數量的內容,超過免費數量後,才會要求用戶登入訂閱帳戶,但不少用戶會使用Chrome無痕模式,規避計次付費牆的Cookie追蹤,以無限制地瀏覽網站內容。

而這個漏洞著名的用法之一,就是被媒體網站拿來確認用戶是否使用無痕模式,當網站發現用戶開啟無痕模式時,就能強制要求用戶登入,或是切換到一般瀏覽模式,但現在Google要修掉檔案系統API的漏洞,而這將會影響使用這個漏洞的媒體網站,無法判斷用戶是否正在使用無痕模式,也就無法防止用戶規避免費瀏覽數量的追蹤。

Google提到,本身使用Cookie追蹤的計次付費牆模式就很容易被破解,因為這項功能仰賴網站追蹤用戶瀏覽免費文章數量的能力,當網站以Cookie進行追蹤,用戶很容易就能使用瀏覽器無痕模式重置Cookie。

為此Google也強調,用戶使用無痕模式瀏覽有其隱私原因,可能想在共享或是借用的裝置上保持隱私,甚至是在政治壓迫或是家庭虐待的情況下使用,才必須要隱藏在網路上的活動,無論如何,使用者有自己安全上的考量。Google認為要貫徹無痕模式的原則,因此將會在7月30日發布的Chrome 76,修正檔案系統API可用來偵測無痕模式的漏洞,而且未來在也會繼續解決其他無痕模式偵測問題。

Google建議採用計次付費牆模式的網站,可以減少登入前可查看免費文章的數量,或要求所有用戶註冊免費帳號,登入以瀏覽網站內容,甚至是開發新的計次付費牆追蹤功能。由於檔案系統API漏洞經修復後,現行的付費牆功能可能產生無法預期的行為,Google提醒,網站不只要對無痕模式用戶進行測試,也要測試網站在一般瀏覽模式下的行為。


Advertisement

更多 iThome相關內容