易商讯
当前位置: 首页 » 网络 » 科技 » 正文

苹果 Safari 浏览器漏洞允许网站实时追踪用户最近浏览活动

放大字体  缩小字体 发布日期:2022-01-18 12:51:19
导读

1月18日消息:据MacRumors报道,浏览器指纹识别服务FingerprintJS周五发布的一篇博文称,WebKit对一个名为IndexedDB的JavaScript API的实现存在一个错误,可以显示用户最近的浏览历史甚至是身份。简而言之,该漏洞允许任何使用IndexedDB的网站访问其他网站在用户浏览会话期间生成的IndexedDB数据库的名称。这个错误可能允许

1月18日消息:据MacRumors报道,浏览器指纹识别服务FingerprintJS周五发布的一篇博文称,WebKit对一个名为IndexedDB的Javascript API的实现存在一个错误,可以显示用户最近的浏览历史甚至是身份。

简而言之,该漏洞允许任何使用IndexedDB的网站访问其他网站在用户浏览会话期间生成的IndexedDB数据库的名称。这个错误可能允许一个网站跟踪用户在不同标签或窗口中访问的其他网站,因为每个网站的数据库名称通常是唯一的。正确的行为应该是,网站只能访问他们自己的 IndexedDB 数据库。

在某些情况下,网站在 IndexedDB 数据库名称中使用独特的用户特定标识符。例如,YouTube创建的数据库在名称中包括用户经过认证的谷歌用户ID,根据FingerprintJS,这个标识符可用于谷歌API,以获取有关用户的个人信息,如个人资料图片。这些个人信息可以帮助恶意行为者确定用户的身份。

据介绍,该漏洞影响了使用苹果开源浏览器引擎WebKit的较新版本的浏览器,包括Mac版Safari15和所有版本的iOS15和iPadOS15的Safari。这个错误还影响到iOS15和iPadOS15上的Chrome等第三方浏览器,因为苹果要求所有浏览器在iPhone和iPad上使用WebKit。FingerprintJS有一个关于该bug的视频演示表明,Mac版Safari14等旧版浏览器不受影响。

 
(文/站长之家)
免责声明
• 
本文苹果 Safari 浏览器漏洞允许网站实时追踪用户最近浏览活动链接:http://www.esxun.cn/internet/45076.html 。本文仅代表作者个人观点,请读者仅做参考,如若文中涉及有违公德、触犯法律的内容,一经发现,立即删除,作者需自行承担相应责任。涉及到版权或其他问题,请及时联系我们,我们将在24小时内处理完毕。如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,否则视为放弃相关权利。
 

Copyright © www.esxun.cn 易商讯ALL Right Reserved


冀ICP备2023038169号-3