El mes pasado, informamos sobre el plan de Google para solucionar un vacío en la API de FileSystem que los sitios web usaban para detectar si un usuario estaba accediendo a él a través del modo de incógnito. Si bien esas correcciones ya se han implementado, el New York Times de alguna manera todavía es capaz de detectar sesiones de navegación privadas cuando se trata de sus muros de pago.
¿Cómo? Como informa TechDows, dos investigadores de seguridad, Vikas Mishra y Jesse Li, han descubierto formas en que los sitios web pueden evitar las protecciones de Google. Los sitios web verificaron previamente si una llamada a la API de FileSystem que solicitaba escribir directamente en el disco duro de un usuario devolvía un error como una indicación de que el modo de incógnito estaba activado. Google arregló esto al decirle a Chrome que escribiera los datos en la RAM, y luego los borrara poco después.
Sin embargo, los sitios web ahora pueden usar la API de administración de cuotas para explotar las diferencias en la forma en que la cotización de almacenamiento temporal difiere entre el modo de incógnito y la navegación regular. Del mismo modo, el sitio web también podría rastrear las velocidades de escritura para determinar si los datos se están escribiendo en el disco duro o la RAM, ya que las velocidades de escritura en la RAM son significativamente más rápidas. Este puede ser otro medio indirecto de detectar si un usuario tiene habilitada la navegación privada.
Google prometió priorizar la privacidad de sus usuarios cuando anunció la corrección de la API de FileSystem y prometió arreglar cualquier medio futuro de detección de modo incógnito también. Manteniéndose fieles a su palabra, los desarrolladores del navegador ya han creado un informe de errores para estas dos lagunas y probablemente las arreglen pronto.
Fuente: Vikas Mishra, Jesse Li a través de TechDows
.
