Poważny błąd prywatności w Apple Safari oznacza, że każda strona internetowa może uzyskać dostęp do Twojego identyfikatora Google i innych prywatnych danych
2 minuta. czytać
Opublikowany
Udostępnij ten artykuł
Ulepsz ten przewodnik
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Jeśli dbasz o swoją prywatność, oznacza to, że musisz odłożyć iPhone'a, po poważnym błędzie implementacji w Safari oznacza, że każda witryna internetowa może odczytać niektóre Twoje prywatne dane i ostatnią historię przeglądania, nawet w trybie przeglądania prywatnego.
Problem polega na tym, jak Safari implementuje IndexedDB, opartą na przeglądarce bazę danych, powszechnie używaną przez aplikacje internetowe. Większość przeglądarek tworzy nową instancję IndexedDB dla każdej witryny, do której można uzyskać dostęp tylko z tej witryny.
Safari jednak tworzy puste wersje IndexedDB tworzone przez każdą stronę internetową na każdej innej stronie internetowej, co oznacza, że IndexedDB Safari nie przestrzega prawidłowo zasad tego samego pochodzenia.
Mimo że kopie w tle IndexedDB utworzone dla innych stron internetowych są puste, nadal mają taką samą nazwę, jak rzeczywista baza danych stworzona przez oryginalną aplikację internetową, która może ujawnić prywatne informacje. Sama obecność bazy danych pozwoli innym stronom internetowym wiedzieć, że odwiedziłeś inną witrynę, na przykład obecność Netflix IndexedDB może powiedzieć Amazonowi, że jesteś użytkownikiem Netflix. Co gorsza, nazwa bazy danych może ujawnić Twoje dane uwierzytelniające. Nazwa bazy danych dla aplikacji Google (takich jak Gmail lub YouTube) obejmuje na przykład Twój identyfikator Google, który może być używany do uzyskiwania dostępu do Twoich publicznie dostępnych informacji, takich jak Twoje zdjęcie profilowe.
Błąd był odkryte i zgłoszone przez FingerprintJS 28 listopada, ale do tej pory Apple nie podjął żadnych działań.
Możesz przetestować problem na stronie internetowej FingerprintJS z dowodem koncepcji tutaj, który sprawdzi, czy odwiedziłeś ostatnio 30 różnych głównych witryn.
W systemie macOS użytkownicy mogą i powinni używać alternatywnej przeglądarki, ale w systemie iOS wszystkie przeglądarki korzystają z silnika internetowego Safari, co oznacza, że wszyscy użytkownicy iPhone'a nie mają żadnych środków zapobiegawczych, z wyjątkiem zaprzestania korzystania z przeglądarki w telefonie.
Obejrzyj film instruktażowy FingerprintJS poniżej:
przez Verge
