修复显然是收入
更新研究人员警告说,影响Safari浏览器的漏洞可以泄露用户的身份及其网站历史记录。beplay体育能用吗
此问题在Safari的实施中引入了IndexedDB API的最新产品,版本15. IndexedDB是一个浏览器API,用于客户端存储,旨在保持大量数据。
防止数据泄漏跨站脚本(XS.)攻击,IndexedDB跟随同性,控制哪些资源可以访问每条数据。
同性策略限制了从一个原点加载的文档或脚本如何与其他起源的资源进行交互。它还可以防止一个页面上的恶意脚本获取对另一个网页上的敏感数据的访问。beplay体育能用吗
一种博客文章from researchers at FingerprintJS who discovered the bug, have revealed that in Safari 15 on macOS, and in all browsers on iOS and iPadOS 15, the IndexedDB API is violating same-origin policy in the WebKit implementation, leading to users’ information being made accessible.
“它让任意网站了解用户访问不同选项卡或beplay体育能用吗窗口的网站,”博客文章介绍。“这是可能的,因为数据库名称通常是唯一的,并且特定于网站。beplay体育能用吗
'精确识别'
“此外,我们观察到在某些情况下,网站使用唯一的用户特定标识符beplay体育能用吗数据库名字。这意味着经过身份验证的用户可以唯一和精确地识别。
“一些流行的例子将是YouTube,Google日历或Google保留。所有这些网站都会创建包含经beplay体育能用吗过认证的Google用户ID的数据库,并且如果用户登录到多个帐户,则为所有这些帐户创建数据库。“
因此,不仅可以不受信任或恶意的网站可能会学习用户的身份,这也可以允许链接beplay体育能用吗到同一用户使用的多个单独的帐户。
你可能也会喜欢介绍VAPI - 一个用于了解API安全性的开源实验室环境
研究人员指出,这些泄漏不需要任何特定的用户动作。他们解释说明,在后台运行的标签或窗口,并不断查询可用数据库的IndexedDB API,可以了解其他网站用户是否实际访问。beplay体育能用吗
或者,网站可以在IFRAME或beplay体育能用吗POPUP窗口中打开任何网站,以触发该特定站点的基于IndexedDB的泄漏。
FingerPrintJS声称,超过30个Alexa前1000个网站使用索引数据库直接在其主页上,可能将其暴露于该错误,尽管它们“期望数量在现实世界的情况下显着更高”。
修复收入?
可以在FingerPrintJS的博客文章中找到概念验证。
苹果已经了解问题,并根据研究人员的说法,工程师已经合并了潜在的修复并将报告标记为已解决。但是,FingerPrintJs表示,这个问题仍然存在,并将修复尚未发布。
与此同时,用户“不能做太多”以保护自己免受脆弱性,解释了研究人员。
FingerPrintjs的软件工程师据说Martin Bajanik告诉每日SWbeplay2018官网IG.:“真实世界的影响是使用受影响的浏览器访问的网站(iOS 15和ibeplay体育能用吗Pados 15上的所有浏览器以及麦斯科斯队的Safari 15)能够在不同的选项卡或Windows中访问您的一些浏览活动。
“我们无法知道哪些网站正在利用此漏洞,因此在固定状态之前,受beplay体育能用吗影响的用户”隐私可能或可能不会被他们访问的网站违反“。
Bajanik补充说:“MacOS用户可以在此期间切换到其他浏览器。IOS 15和IPAsOS 15用户没有此选项,因为所有浏览器都受到影响 - 它们的选项会更有限。
“它们可以默认阻止所有JavaScript,只允许它在信任的网站上,但这将导致由于JavaScript在Web上的笨拙而导致浏览体验不方便。beplay体育能用吗
“希望这个漏洞将很快修复,此时最佳保护将在问题解决后更新一个人的操作系统。”
每日SWbeplay2018官网IG.已达到Apple,了解有关WebKit和iOS的修补程序的更多信息。beplay体育能用吗
本文已更新,以包括FingerPrintJS的评论。
