Googleは、「Chrome」のシークレットモードをサイト側が検知できないようにする仕組みを導入しているが、この仕組みを回避する手法がすでに編み出されているようだ。

Googleは7月、Chromeの「Filesystem API」に変更を加えることを発表した。サイトは、Filesystem APIを利用して、一時的または永続的にファイルを保存することができる。

以前は、このAPIが利用できない状態であればブラウザーがシークレットモードになっていると推測できた。Googleは、この問題に対処するだけでなく、シークレットモードであることを検知するどのような新手法もすべて遮断するとしていた。

一部のニュースサイトでは、Chromeがシークレットモードになっていることを検知し、無料で読める記事の数を制限し、サイト訪問者に通常のタブに切り替えるよう促そうとしている。

Filesystem APIへの変更は「Chrome 76」で実施された。サイトはFileSystem APIが利用可能かどうかを確認して、訪問者がシークレットモードを使用していることを検知することができなくなった。

だが、セキュリティ研究者のVikas Mishra氏は先ごろ、ブラウザーの「Quota Management API」を利用して、タブがシークレットモードかどうか推測できることを発見したという。

Mishra氏は、「TEMPORARYストレージクォータには、通常のモードとシークレットモードで大きな違いがあり、シークレットモードの場合は120Mバイトという上限があるが、シークレットモードではないウィンドウにこのような制限はない」と述べている。

セキュリティ研究者のJesse Li氏は、こうした手法のほかに、Filesystem APIの書き込み速度を測定することでシークレットモードを検知するという手法があると説明している。Li氏によれば、通常モードでは、書き込み速度がシークレットモードより遅いという。Li氏はこの手法について、既存の方法より時間がかかり、信頼性も低いが、この手法をパッチするのは困難だと述べている。

「Chromium」の開発者らは現在、このクォータと書き込み速度に関する問題の修正に取り組んでいるようだ。彼らはFilesystem APIを使うシークレットモード検知で、関連する2つの問題があると説明している。バグレポートで指摘されているように、すでにThe New York Timesは、クォータを検出する手段を利用して、Chromeがシークレットモードであるかどうかを判断しているという。