Apple Safari 的主要隐私漏洞意味着任何网站都可以访问您的 Google ID 和其他私人数据
2分钟读
发表于
阅读我们的披露页面,了解如何帮助 MSPoweruser 维持编辑团队 查看更多
如果您关心您的隐私,您的意思是需要放下您的 iPhone,因为 Safari 中的一个严重的实施错误意味着任何网站都能够读取您的一些私人数据和最近的浏览历史记录,即使在使用隐私浏览模式时也是如此。
问题在于 Safari 如何实现 IndexedDB,这是一个 Web 应用程序常用的基于浏览器的数据库。 大多数浏览器为每个网站创建一个新的 IndexedDB 实例,只能从该网站访问。
然而,Safari 会在每个网页中创建由每个网页创建的 IndexedDB 的空版本,这意味着对于 IndexedDB,Safari 不正确遵守同源策略。
即使为其他网页创建的 IndexedDB 的卷影副本是空的,它们仍然与原始 Web 应用程序创建的实际数据库具有相同的名称,这可能会泄露私人信息。 仅数据库的存在就会让其他网页知道您访问了另一个网站,例如,Netflix IndexedDB 的存在可以告诉亚马逊您是 Netflix 用户。 然而,更糟糕的是,数据库的名称可能会泄露您的凭据。 例如,Google 应用程序(例如 Gmail 或 YouTube)的数据库名称包括您的 GoogleID,可用于访问您的公开信息,例如您的个人资料照片。
错误是 由 FingerprintJS 发现并报告 28 月 XNUMX 日,但到目前为止,苹果还没有采取任何行动。
您可以在 FingerprintJS 的概念证明网站上测试该问题 此处,它将检查您最近是否访问了 30 个不同的主要网站。
在 macOS 上,用户可以并且应该使用备用浏览器,但在 iOS 上,所有浏览器都使用 Safari 网络引擎,这意味着所有 iPhone 用户除了停止在手机上使用浏览器外,没有任何缓解措施。
在下面观看 FingerprintJS 的解释器视频:
通过 边缘