Velika greška u privatnosti Apple Safarija znači da sve web-lokacije mogu pristupiti vašem Google ID-u, drugim privatnim podacima
2 min. čitati
Objavljeno na
Podijelite ovaj članak
Poboljšajte ovaj vodič
Pročitajte našu stranicu za otkrivanje kako biste saznali kako možete pomoći MSPoweruseru da održi urednički tim Čitaj više
Ako vam je stalo do svoje privatnosti, mislite da morate odložiti svoj iPhone, nakon ozbiljne greške u implementaciji u Safariju znači da svaka web stranica može pročitati neke od vaših privatnih podataka i nedavne povijesti pregledavanja, čak i kada se koristi način privatnog pregledavanja.
Problem je u tome kako Safari implementira IndexedDB, bazu podataka temeljenu na pregledniku koju obično koriste web aplikacije. Većina preglednika stvara novu instancu IndexedDB-a za svaku web stranicu, kojoj se može pristupiti samo s te web stranice.
Safari međutim stvara prazne verzije IndexedDB-a koje je kreirala svaka web stranica na svakoj drugoj web stranici, što znači da za IndexedDB Safari ne poštuje pravila o istom podrijetlu ispravno.
Iako su kopije u sjeni IndexedDB-a stvorene za druge web-stranice prazne, i dalje imaju isti naziv kao stvarna baza podataka koju je stvorila izvorna web-aplikacija, koja može procuriti privatne informacije. Sama prisutnost baze podataka obavijestit će druge web stranice da ste posjetili drugu web stranicu, na primjer, prisutnost Netflix IndexedDB može reći Amazonu da ste korisnik Netflixa. Još gore, međutim, ime baze podataka može procuriti vaše vjerodajnice. Naziv baze podataka za Google aplikacije (kao što je Gmail ili YouTube) uključuje, na primjer, vaš GoogleID, koji se može koristiti za pristup vašim javno dostupnim informacijama, kao što je vaša profilna slika.
Bug je bio otkrio i prijavio FingerprintJS 28. studenog, ali do sada Apple nije ništa poduzeo.
Problem možete isprobati na FingerprintJS-ovoj web stranici proof of concept ovdje, koji će provjeriti jeste li nedavno posjetili 30 različitih velikih web-mjesta.
Na macOS-u korisnici mogu i trebaju koristiti alternativni preglednik, ali na iOS-u svi preglednici koriste Safari web motor, što znači da svi korisnici iPhonea nemaju nikakvo ublažavanje osim da prestanu koristiti preglednik na svom telefonu.
Pogledajte videozapis objašnjenja FingerprintJS-a u nastavku:
preko Granica
