首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

浏览器 Safari 15或将泄露用户的浏览活动!苹果:已着手解决

近日,有外媒报道,防欺诈服务提供商 FingerprintJS 调查发现,苹果浏览器 Safari 15中的一个漏洞可能会泄露用户的浏览活动,还可能泄露谷歌账户上的某些个人信息。

这个漏洞源于苹果推出的 IndexedDB,它是可在浏览器上存储数据的应用程序编程接口(API)。FingerprintJS 解释称,IndexedDB 遵守同源策略,该策略限制一个源与其他源收集的数据交互。本质上,只有生成数据的网站才能访问它。

举例来说,如果您在某个选项卡中打开电子邮件帐户,然后在另一个选项卡中打开恶意网页,同源策略会阻止恶意页面查看和干预用户的电子邮件。

而苹果在 Safari 15 中应用 IndexedDB API 实际上违反了同源策略。当网站与 Safari 中的数据库交互时,FingerprintJS 称:“在同一浏览器会话中的所有其他活动框架、选项卡和窗口中都会创建一个同名的新(空)数据库。”

这意味着,其他网站可以看到用户在不同网站上创建的其他数据库名称,其中可能包含特定于其身份的详细信息。FingerprintJS 注意到,当用户浏览需要谷歌帐户的网站时,如 YouTube、Google Calendar 和 Google Keep 等,都会生成名称中包含用户唯一谷歌账户 ID 的数据库。

这个 ID 允许谷歌访问用户的公开信息,比如其个人资料,而 Safari 漏洞可能会将这些信息暴露给其他网站。

不过,据悉,苹果已经开始着手解决这个问题。该公司已经将 FingerprintJS 报告的问题标记为“已解决”,但该修复还没有真正向终端用户发布,让我们一同拭目以待。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20220118A03WF400?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券