跳到主要內容

[科技]Google 修完漏洞,但網站仍可用檔案系統 API 偵測出 Chrome 無痕模式。


  檔案系統 API 在無痕模式會將資料寫入記憶體,其速度比一般模式寫入磁碟還快得多,因此可被用來偵測瀏覽器模式。

  Google 為了讓網站無法偵測用戶是否以無痕進行瀏覽,在 Chrome 76 修正檔案系統(FileSystem)API 的漏洞,但現在有研究人員發現,Chrome 76 的檔案系統 API 的寫入速度,在無痕模式比一般模式還要快,因此網站還是能用寫入的速度差異,來偵測使用無痕模式的訪客,達成時序攻擊(Timing Attack)。

  Chrome 75 以前的版本,無痕模式會禁用檔案系統 API,以避免在裝置留下任何活動痕跡,而檔案系統 API 的漏洞,會讓網站在檢查檔案系統 API 的可用性時,回傳錯誤訊息,因此網站便能得知用戶正在使用無痕模式,Google 提到,由於不少媒體網站採用計次付費牆(Paywall)收費模式,當用戶瀏覽超過一定數目的文章,才會要求登入付費帳號,因此為避免用戶使用無痕模式規避計次付費牆機制,網站便會使用檔案系統 API 的漏洞,偵測用戶是否正使用無痕模式,決定給予相對應的用戶體驗。

  而在 7 月的時候,Google 宣布要落實無痕模式隱私原則,會在 Chrome 76中,修正檔案系統 API 的漏洞,但現在研究人員 Jesse Li 發現,即便是最新的 Chrome 76,仍然可以透過量測 API 寫入儲存中介的速度,來偵測瀏覽器的無痕模式,而 Jesse Li 也在 GitHub 中發表了概念性驗證實作。

  Chrome 76 為了避免網站根據檔案系統 API 的可用與否偵測無痕模式,因此即便在無痕模式,Chrome 仍然會寫入 API 的資料,只是資料寫入的目標是記憶體而非磁碟,如此便不會在磁碟上留下操作痕跡,對網站來說,檔案系統 API 都一致可用,那就不存在之前以 API 可用與否,判斷瀏覽器無痕模式的問題,不過這卻產生另一個問題,由於記憶體寫入速度比磁碟更快,兩者仍存在差異。

  利用這樣的差異,網站就能推測出用戶是否使用無痕模式。由於記憶體比磁碟快上許多,網站只要重複寫入大量的字串,量測檔案系統需要時間,建立出基準測試,就能用來判斷訪客是否使用無痕模式。

  Jesse Li進行了一百次的迭代,共花費數分鐘做出基準測試。基準測試結果顯示,在一般模式下的檔案系統,寫入磁碟的尖峰時間約落在 3,000 到 4,000 毫秒之間,相較於無痕模式寫入記憶體,尖峰落在 1,000 毫秒,時間只有三分之一到四分之一而已,無痕模式平均耗費 792 毫秒,而一般模式平均則要 2,281 毫秒,是前者的 2.8 倍。

  Jesse Li 解釋這種偵測無痕模式與一般模式的時序攻擊有其限制,除了需要花上數分鐘或是數十秒的時間,才能獲得有用的資料之外。偵測的結果跟使用者裝置的配置有關,行動裝置與桌上型電腦的記憶體和磁碟速度都不一樣,也會跟裝置同時執行的工作有關,而對統計資料產生雜訊。

  這種方法並非直接偵測無痕模式,而是偵測檔案系統的第二儲存中介,進而推斷使用者瀏覽器正在執行的模式,但當磁碟即是記憶體的時候,便會產生誤判。不過,Jesse Li 提到,這種方法相對難以修補,因為其攻擊的手段是漏洞修補的技術基礎,因此用戶要完全避免被偵測出使用無痕模式,必須要在兩種裝置使用相同的儲存中介,寫入速度相同也就沒有被偵測的疑慮。

這個網誌中的熱門文章

[娛樂]最終未能「蟻人鑽肛門」,保羅苦笑喊「沒機會」。

  保羅路德最近正在宣傳 Netflix 最新影集「麥斯 2.0」,最近上節目「First We Feasts Hot Ones」時再度提到自己主演的漫威英雄「蟻人」在「復仇者聯盟:終局之戰」當中,未能一如眾多網友開玩笑的傳聞一樣,最後鑽入薩諾斯的肛門內擊倒他,然則保羅路德之前宣傳電影時已經揶揄這個傳聞多遍,如今再提往事,依舊脾氣極好的再度自嘲。   保羅路德在節目上說:「我真的覺得失去了一個機會。」隨後他在說完這句話之後立刻大笑,表態他在開玩笑,不過外界覺得最為誇讚的是他脾氣極好,早從去年宣傳「復仇者聯盟:無限之戰」、「蟻人與黃蜂女」時就不厭其煩想梗回應,如今再度提及此事,相當逗趣。   其實看過「復仇者聯盟:終局之戰」結尾的影迷都知道,最終是「鋼鐵人」犧牲自己來救助全世界,讓所有漫威影迷都非常喜歡這個結局,也有網友開玩笑說,看來保羅路德可以釋懷了。

[科技]前Google實習生告訴你:如何進入Google實習、面試流程是什麼、實習生每天都在幹嘛?

  去Google工作是很多人的夢想,而大學時期能去Google實習更是為自己鋪平了成功之路。到底什麼樣的人才能進入Google實習?在Google實習是什麼樣子?傳聞中的那些Google福利是真是假?   日前,Fast Company 發表了一篇前 Google 實習生的日記,日記中詳細敘述了自己在Google實習的體驗。日記中說,讓他感觸最大的一點就是:「當 Google 尋找未來的員工時,除了簡歷裡的成就,他們更看重求職者是一個怎樣的人。」   過去二十年,Google 對我們的日常生活產生了巨大的影響——Android系統成為地球上最常用的系統,與此同時,它還不斷地在探索新興的硬體技術,包括 VR 頭戴裝置和無人機。   當人們談及科技行業的工作機會時,Google 總是在他們夢想加入的公司的榜首——這一點兒也不奇怪。根據 Vault 年度排名,在過去兩年,Google 一直是實習生最夢寐以求的公司,沒有之一。可是,怎樣才能得到 Google 的實習機會呢?下面就是去年夏天在 Google 實習過的史丹佛研究生 Kerry Wang 的經驗談。   在Google的角色。   我今年20歲,剛從史丹佛大學畢業。2016 年的夏天,我來到 Google 的新總部——加州山景城,開始了我的實習。實習共10周,從6月持續到8月。   我是「建立領導與發展機會(BOLD)計劃」的實習生。具體來說,我在 Google 的線上合作業務團隊擔任產品銷售負責人,主要工作是與業務團隊和工程團隊合作,在AdSense 平台上開發及推出產品。我喜歡與跨職能團隊合作,更喜歡解決他們提出的獨特問題。這些都得益於我在人類生物學和電腦科學方面的背景。   如何發現 Google 的實習機會?   BOLD 實習的申請是在我大一的時候開始的。當時,我看到一張 BOLD Discovery 的傳單,介紹說這是 Google 專門為本科生而設的計畫,地點在紐約。我決定立即申請。得知申請被透過時我簡直超級激動。在這趟包吃包住的紐約旅行中,我們用了三天時間,在 Google 總部,詳細的去瞭解公司的文化和業務。我喜歡這趟旅程中學到的東西,所以當 BOLD Discover y的招聘人員在兩年後開始招收 BOLD 實習生時,我立即提交了我的簡歷和申請。 ...

[動畫]《一拳超人》第三季動畫的埼玉英雄視覺圖、特報影片、製作團隊和聲優情報公開。

  以 ONE 與村田雄介所創作的超級英雄題材動作漫畫《一拳超人》為原作,第三季電視動畫公開了主角埼玉視覺圖、特報宣傳影片、製作團隊和聲優陣容等情報。   《一拳超人》電視動畫第一季由 MADHOUSE 製作,於 2015 年 10 月開播;第二季改由 J.C.STAFF 製作,於 2019 年 4 月開播。2022 年 8 月宣布動畫第三季製作消息。目前已知第三季店是動畫將與第二季同樣由 J.C.STAFF 擔綱製作。   由 ONE 擔任原作、村田雄介負責作畫的漫畫作品《一拳超人》,描述就職過程中找不到出路的主角「埼玉」,遭遇到要奪走一位少年生命的螃蟹異變人後,回憶起年少年時「想要成為英雄」的想法,於是奮起戰鬥並救下了少年。重拾對於成為英雄的志向後,埼玉苦練了三年、以掉光所有頭髮為代價,化身成毫無弱點的超級英雄,只需一拳便能輕鬆地擊敗怪獸。之後他與弟子傑諾斯一起加入了英雄協會,開始了與眾多英雄對抗各種怪物的生活。