Finestra di navigazione in incognito su Chrome: le pagine web possono ancora accorgersene

Con il rilascio di Chrome 76 il browser ha introdotto una finestra di navigazione in incognito parzialmente rinnovata. Come spiegato nell’articolo È vero che Chrome aiuta a superare i paywall ovvero le limitazioni imposte dagli editori online?, l’obiettivo degli sviluppatori di Chrome era quello di impedire ai siti web di stabilire se l’utente stia navigando in incognito o meno.

Fintanto che Chrome 76 non è stato rilasciato, le pagine web potevano infatti verificare se l’utente stava usando la modalità di navigazione in incognito provando a invocare l’utilizzo dell’API FileSystem. L’impossibilità di usare l’API FileSystem permetteva di accertare l’impiego della navigazione in incognito.

Con il rilascio di Chrome 76 le pagine aperte nelle finestre di navigazione in incognito possono esse stesse usare l’API FileSystem: viene così meno un appiglio oggi largamente impiegato, ad esempio, dai siti web che usano paywall ossia che richiedono il versamento di un importo variabile per accedere ai vari contenuti editoriali.

Esistono ancora metodi per stabilire se un utente sta navigando dalla finestra di navigazione in incognito

Un ricercatore indipendente, Vikas Mishra, ha però spiegato che le pagine web possono usare un altro espediente per verificare l’utilizzo della modalità di navigazione in incognito.
Mishra spiega quanto scoperto in questa sua dissertazione tecnica spiegando che l’API Quota Management, che consente di stabilire quanto spazio è riservato ed è attualmente disponibile per l’applicazione web sul sistema locale dell’utente, presenta un “effetto collaterale”. Utilizzando tale API gli sviluppatori possono appunto risalire all’impiego della modalità di navigazione in incognito.

Come? Nella finestra di navigazione in incognito le applicazioni web aperte in Chrome hanno esclusivamente titolo per usare la memoria RAM, con la possibilità di occupare al massimo 120 MB. Interrogando l’API Quota Management nel caso in cui venisse restituito un valore pari o inferiore a 120 MB è ovvio che la pagina web è stata caricata nella modalità di navigazione in incognito. Lo stesso quantitativo di memoria RAM rappresenta anche il valore soglia per i dispositivi dotati di meno di 2,4 GB di storage (in modalità “non-incognito”): dal momento che una configurazione del genere, talmente limitata, è praticamente impossibile da trovare ai giorni nostri, è palese che in queste circostanze l’utente si stia davvero servendo della navigazione in incognito.

Abbiamo provato a copiare il codice di test pubblicato da Mishra nel suo post, abbiamo installato Chrome Canary (versione 78), abbiamo aperto una finestra di navigazione in incognito CTRL+MAIUSC+N, abbiamo premuto il tasto F12, cliccato sulla scheda Console quindi premuto CTRL+V.
Il risultato è visibile in figura: utilizzando l’API Quota Management, anche con le release più recenti di Chrome l’impiego della modalità di navigazione in incognito rimane palese.

Jesse Li ha scoperto un altro metodo per stabilire quando un utente sta navigando dalla modalità incognito. Misurando i tempi di scrittura dei dati a livello di filesystem, infatti, qualunque applicazione web può determinare se l’utente stia usando la finestra di navigazione in incognito.

Alcuni siti hanno già iniziato a utilizzare il primo metodo, considerato più semplice e veloce da utilizzare: tra di essi ricordiamo il New York Times che fa apparire il paywall e la richiesta di abbonamento a tutti gli utenti che provano a navigare il sito in incognito.

Google ha confermato che i tecnici sono al lavoro per rimuovere dalle future versioni di Chrome qualunque metodo che permetta di riconoscere l’utilizzo della modalità di navigazione in incognito.