Google schließt große Sicherheitslücke für Webseitenbetreiber

0
339
Chrome-Logo-Zeichnung

Google verhindert, dass Webseiten den Incognito-Modus blockieren. Der Suchmaschinen-Riese ist dabei eine Lücke zu schließen, die viele Unternehmen genutzt haben, um die Nutzung auf der eigenen Webseite zu verfolgen.

Laut 9to5 Google ist Google ein Trick bekannt, den Webentwickler ausgenutzt haben, der es ihnen ermöglicht, zu erkennen, ob ein Benutzer eine Website im Incognito-Modus von Chrome besucht. Diese Lücke ermöglicht es Websites, Besucher am Zugriff auf den Inhalt der Website zu hindern, was sie zwingt, den Incognito-Modus zu verlassen, wenn sie die Seite anzeigen möchten.

Der Workaround ist ziemlich einfach. Chrome deaktiviert die FileSystem-API, die Anwendungsdateien speichert, wenn der Incognito-Modus verwendet wird. Websites, die das private Surfen in Chrome blockieren möchten, können diese API einfach überprüfen, wenn ein Browser die Seite lädt.

Google arbeitet daran, diese Schwachstelle zu beheben, indem Chrome ein virtuelles Dateisystem im RAM erstellen lässt. Auf diese Weise werden Websites die fehlende API nicht bemerken. Um sicherzustellen, dass keine Daten gespeichert werden, wird dieses virtuelle System automatisch gelöscht, wenn ein Benutzer den Incognito-Modus verlässt. Laut 9to5Google versucht der Suchriese auch, die FileSystem API vollständig aus Chrome zu entfernen.

Der Incognito-Modus ermöglicht es Benutzern, privat im Internet zu surfen, ohne dass Standortdaten und Browserverlauf gespeichert werden. Es verhindert auch, dass Websites Besucher mit Hilfe von Cookies verfolgen können. Im Incognito-Modus blockieren Benutzer im Grunde genommen die Werbung daran, sie auf der Grundlage ihres Webprotokolls anzusprechen. Es kann auch verwendet werden, um Artikelgrenzen auf abonnementbasierten Websites zu umgehen.

Ein Beispiel für eine Website, die dieses Chrome-Schlupfloch nutzt, ist The Boston Globe, das Artikel, die im Incognito-Modus angesehen werden, durch eine Eingabeaufforderung auf dem Bildschirm ersetzt, um zu verhindern, dass Benutzer ihre Paywall umgehen.

„Sie verwenden einen Browser, der auf Privat- oder Inkognito-Modus eingestellt ist“, sagt jede Artikelseite auf der Website von The Boston Globe. „Um die Artikel in diesem Modus weiter zu lesen, loggen Sie sich bitte in Ihr Globe-Konto ein.“

Google wird die Lücke durch eine Opt-in-Funktion mit Chrome 74 schließen, die The Verge voraussichtlich im April eintreffen wird. Es wird erwartet, dass die Option vorläufig die Standardoption von Chrome 76 ist.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here