反網站詐騙工具公司 FingerprintJS 日前在網站公開了一篇消息,指由 Apple 推出的 Safari 瀏覽器存在漏洞。網站有機會取得部分用戶正在瀏覽的其他網站名稱,甚至令用戶 ID 等個人資料外洩。
問題源於 Safari 15 內所使用的 IndexedDB API。一般瀏覽器會為每個網站提供獨立的 IndexedDB 資料庫,給網站可以在電腦內儲存資料。而儲存的資料一般只供該網站使用,其他網站不能察覺及查閱。
不過在 Safari 內,每當網站使用 IndexedDB 後,同名的空白資料庫會在其他網站內出現。雖然其他網站不能查閱資料庫的實際內容,但因為資料庫的名稱與原來的相同,其他網站就可以從這個名稱猜出用戶曾經使用過什麼網站。更值得注意的是 Google 等網站會在 IndexedDB 的名稱內加入用戶 ID 等涉及個人資料的情報,這就可能會帶來更大問題。
FingerprintJS 表示目前受影響用戶能夠做的,只有完全停用 Javascript,又或者暫時使用 Safari 15 以外的瀏覽器。不過,由於 Apple 限制 iOS 及 iPadOS 的瀏覽器必須使用與 Safari 相同的瀏覽器引擎進行開發,這些平台上的所有瀏覽器都會受到問題影響,只能夠等待 Apple 釋出更新才能完全解決問題。
標籤: Apple
分享這篇文章
