反网站诈骗工具公司 FingerprintJS 日前在网站公开了一篇消息,指由 Apple 推出的 Safari 浏览器存在漏洞。网站有机会取得部分用户正在浏览的其他网站名称,甚至令用户 ID 等个人资料外泄。

问题源于 Safari 15 内所使用的 IndexedDB API。一般浏览器会为每个网站提供独立的 IndexedDB 资料库,给网站可以在电脑内储存资料。而储存的资料一般只供该网站使用,其他网站不能察觉及查阅。

不过在 Safari 内,每当网站使用 IndexedDB 后,同名的空白资料库会在其他网站内出现。虽然其他网站不能查阅资料库的实际内容,但因为资料库的名称与原来的相同,其他网站就可以从这个名称猜出用户曾经使用过什么网站。更值得注意的是 Google 等网站会在 IndexedDB 的名称内加入用户 ID 等涉及个人资料的情报,这就可能会带来更大问题。

FingerprintJS 表示目前受影响用户能够做的,只有完全停用 Javascript,又或者暂时使用 Safari 15 以外的浏览器。不过,由于 Apple 限制 iOS 及 iPadOS 的浏览器必须使用与 Safari 相同的浏览器引擎进行开发,这些平台上的所有浏览器都会受到问题影响,只能够等待 Apple 释出更新才能完全解决问题。

标签:

分享这篇文章