W zeszłym miesiącu Google obiecywał zamknąć lukę w API FileSystem, wykorzystywaną przez strony do rozpoznawania, czy użytkownik odwiedza je w trybie Incognito. Poprawki zostały wprawdzie zaimplementowane, ale okazują się nie do końca skuteczne. Przykładowo witryna New York Times w jakiś sposób nadal może wykryć tryb prywatny - zwłaszcza gdy użytkownik dochodzi do jej paywallów.
Jak to w ogóle możliwe? Badacze zabezpieczeń - Vikas Mishra i Jesse Li - odkryli, w jaki sposób witryny obchodzą zabezpieczenia Google. Wcześniej sprawdzały one, czy żądanie zapisu bezpośrednio na dysku użytkownika, kierowane do API Filesystem, zwracało błąd. Wskazywało to, że przeglądamy w Incognito. Google naprawił to, nakazując Chrome zapisywać dane do RAM i zaraz po tym je czyścić.
Witryny mogą jednak używać API Quota Management, by exploitować różnice w sposobie przechowywania tymczasowego między trybem Incognito a zwykłym przeglądaniem. Analogicznie strony mogą też śledzić prędkość zapisywania, by wykryć, czy dane są zapisywane na dysku twardym, czy też w pamięci RAM, jako że ten drugi sposób zapisu jest znacznie szybszy. Sposoby te są co prawda niebezpośrednie i strony jedynie zgadują, z jakim trybem mają do czynienia, jednak ich przewidywania okazują się często trafne.
Ogłaszając prace nad poprawką, Google obiecało potraktować prywatność użytkowników w sposób priorytetowy, a także na bieżąco udoskonalać tryb Incognito. Firma słowa dotrzymała, ale przed nią jeszcze sporo pracy, by użytkownicy mogli rzeczywiście zachować prywatność na stronach.
