Компания Google собирается закрыть старую уязвимость в браузере Chrome. Она позволяет веб-сайтам проверять, находится посетитель в режиме Incognito или нет.

В этом режиме история посещений не записывается в браузере и сайты не могут использовать куки для отслеживания активности в интернете. Между тем, куки очень популярны в рекламных целях, поэтому режим скрытого посещения для сайтов невыгоден и некоторые сайты даже блокируют таких посетителей.

Чаще всего сайты обнаруживают использование режима Incognito при помощи вызова FileSystem API, который доступен в браузере Chrome в режиме работы по умолчанию. В анонимном режиме этот интерфейс прикладного программирования отключен, поскольку может создавать записи и тем самым оставлять следы. Если сайт пытается получить доступ к этому интерфейсу, в режиме Incognito выдаётся ошибка. После этого сайт может показать сообщение с запросом на отключение режима Incognito.

В Google знают об этом методе проверки режима Incognito и теперь собрались кое-что предпринять по этому поводу. Судя по последним добавлениям в исходный код Chrome, данная лазейка будет закрыта. В режиме Incognito в оперативную память будет добавлена виртуальная файловая система. Когда веб-сайты будут вызывать FileSystem API, они не получат ошибку, а после закрытия окна с Incognito виртуальная файловая система исчезнет без следа. В будущих версиях браузера Google собирается полностью избавиться от FileSystem API, поскольку ни для чего другого этот интерфейс больше не применяется.

Разработчики надеются внедрить это в версии Chrome 74 в виде флага и включить по умолчанию в Chrome 76. Chrome 74 (Canary) должен быть выпущен уже скоро. Для применения новой функции нужно активировать флаг #enable-filesystem-in-incognito.