Google Chromeのシークレットモードは「完全にシークレット」にはまだなれてない
インターネットいたちごっこ。
Google Chromeのシークレットモードは、インターネット上でのプライバシーを保つ機能です。ウェブサイトはユーザーがいつ訪れたのかがわからなくなりますし、ペイウォールを超えられちゃう(対価を払ったユーザーのみアクセスできるコンテンツが閲覧できてしまう)なんてラッキーがあったりもします。
しかしウェブ開発者やパブリッシャーも賢くなってきていて、シークレットモードを検知して警告を出すサイトなんかもあるようです。それに対してGoogleは最近Chrome 76をリリース。シークレットモードがよりシークレットになるようなアップデートが施されています。
ところがすでに、いくつかのサイトでそれを回避するようなアプローチが確認されています。
シークレットモードとわからないようにするアプデ
Chrome 76以前、ウェブサイトはループホール(抜け穴)を利用できました。シークレットモードでは、ユーザーローカルにファイル作成や読み出し書き出しを行なう「FileSystem API」が無効になっていました。ウェブサイト側はFileSystem APIを呼びだすようなコードを仕込み、APIの呼び出しが失敗する=シークレットモードで閲覧している、と認識していたのです。
Chrome 76ではこの点が修正されており、シークレットモードでもFileSystem APIが有効です。つまり、ウェブサイトはそれまでの方法ではユーザーがどんなモードで閲覧しているのか、判別できなくなったのです。
NYTが回避方法を見つけているっぽい
しかし、9to5Googleが指摘しているように、The New York Times(以下NYT)がこの修正を回避する方法を見つけています。NYTをシークレットモードで訪れ月間無料閲覧記事数を超えた場合、ログインして閲覧を継続するよう促すポップアップ通知が表示されるでしょう。NYTが別のループホールを見つけたのかは定かではありませんが、9to5 Googleは「NYTにはChrome 76対策として書かれたソースコードはなかった」と記しています。
まだ抜け道があるのでは…
あるセキュリティ研究者によると、FileSystem APIで利用できる容量に着目することでシークレットモードを判別できる可能性があるとのこと。シークレットモードではFileSystem APIで一時的に利用できるストレージは120MBに制限されています。また別のセキュリティ研究者によって、ノーマルモードで開かれているタブはシークレットモードで開かれているタブよりも書き込み速度が遅いという発見もなされています。
どちらの場合でも、もちろんNYTがやっているような方法でも、Chrome 76での修正は無意味なものとなります。Chrome開発チームはまた最初からやり直さなきゃいけないように見えますが…。
Source: Google, 9to5Google, vikas mishra, Jesse Li