Добавить в корзинуПозвонить
Найти в Дзене
Apple SPb Event
7314 подписчиков

Ошибка в Safari позволяет сайтам отслеживать ваши последние действия в браузере в реальном времени

25
2 мин
[via] Ошибка в реализации API JavaScript в WebKit под названием IndexedDB может раскрыть историю посещений сайтов и даже вашу личность, говорится в сообщении, опубликованном в блоге сервиса FingerprintJS. В двух словах, ошибка позволяет любому сайту, использующему IndexedDB, получить доступ к именам баз данных, созданных другими сайтами во время просмотра сайта пользователем. Ошибка может позволить одному сайту отслеживать другие, которые пользователь посещает в разных вкладках или окнах, поскольку имена баз данных часто уникальны и специфичны для каждого сайта. Правильным и нормальным поведением должно быть то, что веб-сайты могут обращаться только к своим собственным базам данных IndexedDB. В некоторых случаях веб-сайты используют в именах баз данных IndexedDB уникальные идентификаторы, специфичные для пользователя. Например, YouTube создает базы данных, которые включают в имя аутентифицированный идентификатор пользователя Google User ID, и этот идентификатор может использоваться в A

[via]

Ошибка в реализации API JavaScript в WebKit под названием IndexedDB может раскрыть историю посещений сайтов и даже вашу личность, говорится в сообщении, опубликованном в блоге сервиса FingerprintJS.

В двух словах, ошибка позволяет любому сайту, использующему IndexedDB, получить доступ к именам баз данных, созданных другими сайтами во время просмотра сайта пользователем. Ошибка может позволить одному сайту отслеживать другие, которые пользователь посещает в разных вкладках или окнах, поскольку имена баз данных часто уникальны и специфичны для каждого сайта. Правильным и нормальным поведением должно быть то, что веб-сайты могут обращаться только к своим собственным базам данных IndexedDB.

В некоторых случаях веб-сайты используют в именах баз данных IndexedDB уникальные идентификаторы, специфичные для пользователя. Например, YouTube создает базы данных, которые включают в имя аутентифицированный идентификатор пользователя Google User ID, и этот идентификатор может использоваться в API Google для получения личной информации о пользователе, например, фотографии профиля. Такая личная информация может помочь злоумышленнику установить личность пользователя.

Ошибка затрагивает новые версии браузеров, использующих открытый браузерный движок WebKit от Apple, включая Safari 15 для Mac и Safari на всех версиях iOS 15 и iPadOS 15. Ошибка также затрагивает браузеры сторонних производителей, такие как Chrome, поскольку Apple требует, чтобы все браузеры использовали WebKit на мобильных ОС. На сайте FingerprintJS есть демонстрация ошибки в реальном времени, которая показывает, что старые браузеры, такие как Safari 14 для Mac, не затронуты этой ошибкой.

FingerprintJS отмечает, что для доступа сайта к именам баз данных IndexedDB, созданных другими сайтами, не требуется никаких действий со стороны пользователя.

Режим приватного просмотра не защищает от ошибки в затронутых версиях Safari.

Пользователям придется подождать, пока Apple устранит ошибку в обновлениях программного обеспечения. Тем временем пользователи Safari 15 могут временно переключиться на другой браузер для Mac, но это невозможно на iPhone или iPad, поскольку на этих устройствах ошибка WebKit затрагивает все браузеры.

Больше интересного в нашем Telegram:  https://t.me/applespbevent

Ещё по теме:

Гаджеты и электроника
5,73 млн интересуются