黑客技术网Apple Safari 15 的 IndexedDB API 实现中引入的软件错误可能被恶意网站滥用,以跟踪用户在网络浏览器中的在线活动,更糟糕的是,甚至泄露他们的身份。
Apple Safari 15 的 IndexedDB API 实现中引入的软件错误可能被恶意网站滥用,以跟踪用户在网络浏览器中的在线活动,更糟糕的是,甚至泄露他们的身份。
该漏洞被称为IndexedDB Leaks,由欺诈保护软件公司 FingerprintJS 披露,该公司于 2021 年 11 月 28 日向 iPhone 制造商报告了该问题。
IndexedDB 是 Web 浏览器提供的低级 JavaScript 应用程序编程接口 (API),用于管理结构化数据对象(如文件和 blob )的NoSQL 数据库。
“与大多数 Web 存储解决方案一样,IndexedDB 遵循同源策略,”Mozilla在其API文档中指出。“因此,虽然您可以访问域内存储的数据,但您无法访问不同域中的数据。”
同源是一种基本的安全机制,可确保从不同来源检索的资源(即方案(协议)、主机(域)和 URL 的端口号的组合)相互隔离。这实际上意味着“https://example[.]com/”和“https://example[.]com/”的来源不同,因为它们使用不同的方案。
通过限制一个来源加载的脚本如何与另一个来源的资源进行交互,其想法是隔离潜在的恶意脚本并通过防止流氓网站运行任意 JavaScript 代码来从另一个域读取数据来减少潜在的攻击向量,例如,电子邮件服务。
“在 macOS 上的 Safari 15 以及 iOS 和 iPadOS 15 上的所有浏览器中,IndexedDB API 违反了同源策略,”Martin Bajanik在一篇文章中说。“每次网站与数据库交互时,都会在同一浏览器会话中的所有其他活动框架、选项卡和窗口中创建一个具有相同名称的新(空)数据库。”
这种侵犯隐私权的后果是,它允许网站了解用户在不同选项卡或窗口中访问的其他网站,更不用说在 YouTube 和 Google 日历等 Google 服务服务上准确识别用户,因为这些网站创建 IndexedDB 数据库,其中包括经过身份验证的 Google 用户 ID,它是唯一标识单个 Google 帐户的内部标识符。
“这不仅意味着不受信任或恶意网站可以了解用户的身份,而且还允许将同一用户使用的多个单独帐户链接在一起,”Bajanik 说。
更糟糕的是,如果用户从浏览器窗口的同一选项卡中访问多个不同的网站,泄漏还会影响Safari 15 中的隐私浏览 模式。我们已与 Apple 联系以获取进一步评论,如果我们收到回复,我们将更新故事。
“这是一个巨大的错误,”谷歌 Chrome 浏览器的开发者倡导者 Jake Archibald 在推特上写道。 “在 OSX 上,Safari 用户可以(暂时)切换到另一个浏览器,以避免他们的数据跨源泄漏。iOS 用户没有这样的选择,因为 Apple 禁止其他浏览器引擎。”
最新评论
Thanks for your blog, nice to read. Do not stop.
1
1
你图片显示不了
你的网站怎么注册啊