Safari浏览器曝出API漏洞 可泄露浏览数据和用户身份
长期以来,苹果一直以隐私保护为主要卖点,大力推荐自家的 Safari 浏览器,比如部署了防止跨站点追踪的举措和隐私报告。然而近日,该软件却曝出了处理 IndexedDB API 时的一个漏洞,或导致签署努力功亏一篑、泄露与用户浏览习惯相关的隐私信息。 (来自:FingerprintJS) 浏览器指纹识别服务 FingerprintJS 在一篇博客文章中指出,苹果在 Safari 15 中的 IndexedDB API 实现方式,存在一个严重的隐私数据泄露隐患。 研究人员指出,该漏洞使得任何 Web 追踪器能够窥探用户的互联网活动,并最终确定其身份。 据悉,IndexedDB 是被广大浏览器客户端所采纳的一款存储 API,多用于保存数据库等数据。 通常情况下,同源策略会限制哪些数据可被某个特定的网站访问。 此外一般只允许一个网站只能访问其生成的数据、而不能摸到其它网站的数据。 尴尬的是,在 Safari 15 for macOS、iOS 和 iPadOS 版本中,我们惊讶地发现 —— 每当网站与其数据库交互时,处于同一浏览器会话中的所有其它活动框架、选项卡、以及窗口,都会创建一个使用相同...
