Apple Safari 的主要隱私漏洞意味著任何網站都可以訪問您的 Google ID 和其他私人數據

如果您關心您的隱私，您的意思是需要放下您的 iPhone，因為 Safari 中的一個嚴重的實施錯誤意味著任何網站都能夠讀取您的一些私人數據和最近的瀏覽歷史記錄，即使在使用隱私瀏覽模式時也是如此。

問題在於 Safari 如何實現 IndexedDB，這是一個 Web 應用程序常用的基於瀏覽器的數據庫。 大多數瀏覽器為每個網站創建一個新的 IndexedDB 實例，只能從該網站訪問。

然而，Safari 會在每個網頁中創建由每個網頁創建的 IndexedDB 的空版本，這意味著對於 IndexedDB，Safari 不正確遵守同源策略。

即使為其他網頁創建的 IndexedDB 的捲影副本是空的，它們仍然與原始 Web 應用程序創建的實際數據庫具有相同的名稱，這可能會洩露私人信息。 僅數據庫的存在就會讓其他網頁知道您訪問了另一個網站，例如，Netflix IndexedDB 的存在可以告訴亞馬遜您是 Netflix 用戶。 然而，更糟糕的是，數據庫的名稱可能會洩露您的憑據。 例如，Google 應用程序（例如 Gmail 或 YouTube）的數據庫名稱包括您的 GoogleID，可用於訪問您的公開信息，例如您的個人資料照片。

這個錯誤是 由 FingerprintJS 發現並報告 28 月 XNUMX 日，但到目前為止，蘋果還沒有採取任何行動。

您可以在 FingerprintJS 的概念證明網站上測試該問題 点击這裡，它將檢查您最近是否訪問了 30 個不同的主要網站。

在 macOS 上，用戶可以並且應該使用備用瀏覽器，但在 iOS 上，所有瀏覽器都使用 Safari 網絡引擎，這意味著所有 iPhone 用戶除了停止在手機上使用瀏覽器外，沒有任何緩解措施。

在下面觀看 FingerprintJS 的解釋器視頻：

通過 邊緣