Комментарии 8
Про 3 статьи в месяц сомнительная идея, ибо и сейчас это можно читать без инкогнито, а потом просто удалить для этого сайта cookies — это прямо скажем сложно на уровне cmd+alt+i
Если я правильно понял код, исправление как раз должно сделать его неработоспособным.
А здесь идет речь о том, что время доступа будет разным и это можно заметить.
Верно, посмотрим.
Вот только хром под IOS будет также определятся как и раньше там движок сафари, а хром только название.
Вот только хром под IOS будет также определятся как и раньше там движок сафари, а хром только название.
А вот вопрос — время доступа будет разным по сравнению с чем? Если не стоит задача определять, когда с данного конкретного устройства был инкогнито доступ, а когда — обычный, то как знание об этом отличии помогает детектить инкогнито в общем случае?
Всё верно, это атака по времени, и она гораздо сложнее и менее точна по сравнению с простой проверкой доступности API. Действительно с ее помощью проще всего отличить режимы браузера на одном компьютере, а это весьма специфический случай. Но разница между записью в память и сбросом на диск (даже быстрый SSD) заметна. Автор предлагает использовать статистическую обработку многократных записей. Это требует значительного времени и напрасно загружает пользовательский компьютер. И вероятностная оценка оставляет возможность для ошибок. Так что ограничения у этой атаки весьма существенные, и применимость ограничена.
Я, кстати, погонял код автора у себя в хроме (Ubuntu, Core i5, SSD). Во-первых, это чудовищно долго, около минуты. И процессор был загружен на 50% всё это время. Мои результаты в абсолютных числах сильно отличаются от авторских, что ожидаемо. Результаты сильно плавают, и на них (опять же ожидаемо) оказывает влияние другая нагрузка на компьютер. В некоторых запусках визуально по графикам сложно определить разницу между режимами.
Это частично проблемы конкретной реализации, которая лишь proof-of-concept, но в текущем виде надо очень-очень ненавидеть своих пользователей, чтобы применять такой метод для какого-нибудь пэй-вола.
Это частично проблемы конкретной реализации, которая лишь proof-of-concept, но в текущем виде надо очень-очень ненавидеть своих пользователей, чтобы применять такой метод для какого-нибудь пэй-вола.
И на 76 хроме лайв демо не детектит инкогнито
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Режим инкогнито в Сhrome 76 обнаружить всё-таки можно