文章图片
近日 , 有外媒报道 , 防欺诈服务提供商 FingerprintJS 调查发现 , 苹果浏览器 Safari 15中的一个漏洞可能会泄露用户的浏览活动 , 还可能泄露谷歌账户上的某些个人信息 。
这个漏洞源于苹果推出的 IndexedDB , 它是可在浏览器上存储数据的应用程序编程接口(API) 。 FingerprintJS 解释称 , IndexedDB 遵守同源策略 , 该策略限制一个源与其他源收集的数据交互 。 本质上 , 只有生成数据的网站才能访问它 。
举例来说 , 如果您在某个选项卡中打开电子邮件帐户 , 然后在另一个选项卡中打开恶意网页 , 同源策略会阻止恶意页面查看和干预用户的电子邮件 。
而苹果在 Safari 15 中应用 IndexedDB API 实际上违反了同源策略 。 当网站与 Safari 中的数据库交互时 , FingerprintJS 称:“在同一浏览器会话中的所有其他活动框架、选项卡和窗口中都会创建一个同名的新(空)数据库 。 ”
这意味着 , 其他网站可以看到用户在不同网站上创建的其他数据库名称 , 其中可能包含特定于其身份的详细信息 。 FingerprintJS 注意到 , 当用户浏览需要谷歌帐户的网站时 , 如 YouTube、Google Calendar 和 Google Keep 等 , 都会生成名称中包含用户唯一谷歌账户 ID 的数据库 。这个 ID 允许谷歌访问用户的公开信息 , 比如其个人资料 , 而 Safari 漏洞可能会将这些信息暴露给其他网站 。
【电子商务|浏览器 Safari 15或将泄露用户的浏览活动!苹果:已着手解决】不过 , 据悉 , 苹果已经开始着手解决这个问题 。 该公司已经将 FingerprintJS 报告的问题标记为“已解决” , 但该修复还没有真正向终端用户发布 , 让我们一同拭目以待 。
- 电子商务|私域SaaS“星云有客”连续完成天使轮及Pre-A轮4000万融资
- 电子商务|今年电商人的“春节不打烊”变了
- Google|再次强调一下,谷歌浏览器在中国市场并没有被禁用
- vivo|谷歌在国内受欢迎,国产浏览器却一进入国际市场就被起诉
- 魅族手机|遨游浏览器宣布使用谷歌内核后,从此国产浏览器全部沦为换皮
- 电子商务|攒机单点评:配置倒挂攒了个寂寞
- 电子商务|辛巴电商学校规划图曝光,面积非常大!辛巴喊话粉丝不要看八卦
- 浏览器|WebSocket 是什么原理?为什么可以实现持久连接?
- 电子商务|拼多多在美国上市却不敢在美国运营,因为担心公司被起诉至破产
- justin|谷歌 Chrome 97 浏览器无法删除默认搜索引擎,引发用户批评