亚洲av无码精品色午夜果冻不卡_国产草草影院ccyycom_97精品伊人久久久大香线蕉_亚洲av男人电影天堂

News Center
新聞資訊

蘋果 Safari瀏覽器新漏洞敲響跨站用戶跟蹤的警鐘

編輯:admin   瀏覽次數:次    更新時間:2022-01-25 00:06
防欺詐軟件公司 FingerprintJS 日前披露, Safari 15中的IndexedDB API執行漏洞已經被惡意網站利用,它可能被用于跟蹤用戶的網絡瀏覽數據。更糟糕的是,這個漏洞甚至有暴露用戶的身份的風險。

FingerprintJS公司將該漏洞命名為IndexedDB Leaks, 并于2021 年 11 月 28 日向蘋果公司報告了該問題。1642472213_61e6231550ac8f7ad13b7.png!small

IndexedDB是網(wang)絡瀏覽器(qi)提供(gong)的低級 JavaScript 應用程(cheng)序編程(cheng)接口(kou) (API),用于管理結構化數據(ju)對(dui)象(如文(wen)件(jian)和 blob類(lei)型數據(ju))的NoSQL 數據(ju)庫。

Mozilla組織(zhi)在其(qi)API文檔中指(zhi)出:“和大多數(shu)網絡存(cun)儲(chu)解(jie)決方案一(yi)樣,IndexedDB遵(zun)循同源(yuan)策略,因此用戶可以在一(yi)個域(yu)中訪問存(cun)儲(chu)的數(shu)據而不(bu)能在不(bu)同的域(yu)中訪問數(shu)據。”

同(tong)(tong)源(yuan)(yuan)機制是(shi)(shi)一(yi)(yi)種基(ji)本(ben)的(de)安(an)全機制,它確(que)保從(cong)不同(tong)(tong)來源(yuan)(yuan)獲取(qu)的(de)資源(yuan)(yuan)彼此(ci)隔離(li)。也就是(shi)(shi)說,URL的(de)方案(協議)、主機(域(yu))和端(duan)口號是(shi)(shi)相互隔離(li)的(de)。通(tong)過(guo)限制一(yi)(yi)個源(yuan)(yuan)加(jia)載(zai)的(de)腳(jiao)本(ben)如何與另一(yi)(yi)個源(yuan)(yuan)加(jia)載(zai)的(de)資源(yuan)(yuan)交互可以防止流(liu)氓網站運行(xing)任意(yi)JavaScript代碼(ma)從(cong)另一(yi)(yi)個域(yu)(如電(dian)子郵件服務(wu))讀取(qu)數(shu)據,從(cong)而隔離(li)潛(qian)(qian)在的(de)惡(e)意(yi)腳(jiao)本(ben),減少潛(qian)(qian)在的(de)攻擊矢量(liang)。

然而,Safari瀏覽器(qi)處理跨 iOS、iPadOS 和(he) macOS 系統(tong)中(zhong)的 Safari IndexedDB API 的方式并非如此。每次網站與數據庫交(jiao)互(hu)時,都會(hui)在同(tong)一(yi)瀏覽器(qi)會(hui)話中(zhong)的所有其他活動框、選項卡和(he)窗口中(zhong)創建一(yi)個具有相同(tong)名稱的新(xin)的空數據庫。

這(zhe)種(zhong)侵犯(fan)隱私(si)的(de)處理方式允(yun)許(xu)了(le)網站獲取用(yong)戶(hu)在不(bu)同選項卡或窗口中訪(fang)問的(de)其他(ta)網站。這(zhe)就更不(bu)用(yong)說在 YouTube 和 Google 日(ri)歷等 Google 服務上(shang)準確識(shi)別用(yong)戶(hu)了(le)。因(yin)為這(zhe)些網站創建的(de)IndexedDB數(shu)據庫包含(han)了(le)經過認證的(de)谷歌用(yong)戶(hu)ID,這(zhe)是唯(wei)一標(biao)識(shi)單個 Google 賬戶(hu)的(de)內(nei)部標(biao)識(shi)符。

這不僅意味著不受信任的或惡意網站可(ke)以了解用戶的身份,而且還(huan)允許網站將同一用戶使(shi)用的多個單獨賬戶鏈接在一起。

雪上加霜的(de)(de)(de)是(shi),如(ru)果(guo)用戶是(shi)從瀏覽(lan)(lan)器(qi)窗(chuang)口的(de)(de)(de)同一選項卡中(zhong)訪問多(duo)個不(bu)同的(de)(de)(de)網(wang)站的(de)(de)(de),那(nei)么(me)即使他(ta)使用的(de)(de)(de)是(shi)Safari 15瀏覽(lan)(lan)器(qi)中(zhong)的(de)(de)(de)隱私瀏覽(lan)(lan)模式(shi)也并不(bu)能幸免(mian)于難(nan)。

“這(zhe)是(shi)一個巨大(da)的(de)(de)漏洞,”谷歌(ge) Chrome 瀏(liu)覽(lan)器(qi)的(de)(de)開發者倡導者 Jake Archibald 在(zai)(zai)推特上寫道。“在(zai)(zai) OSX 操(cao)作系統上,Safari 用戶(hu)可(ke)以暫時(shi)切換到另一個瀏(liu)覽(lan)器(qi)以避(bi)免(mian)他們的(de)(de)數(shu)據(ju)跨(kua)源泄漏,可(ke)是(shi)iOS 用戶(hu)沒有這(zhe)樣的(de)(de)選擇,因為蘋(pin)果(guo)禁止其他瀏(liu)覽(lan)器(qi)引擎。”

1642472298_61e6236a85ec273c6b9e5.png!small


推薦新聞(wen)