Apple se pregătește să remedieze eroarea de scurgere a datelor IndexedDB în Safari • Istoric
Apple se pregătește să remedieze o eroare la un inginer de browser WebKit care a scurs date din cel puțin 15 browsere Safari de când problema a fost raportată în noiembrie anul trecut.
Actualizări disponibile joi pentru dezvoltatorii Apple – iOS 15.3 RC și macOS 12.2 RC – S-a spus Remediere erori, implementare necorespunzătoare a API-ul IndexedDB cine care Permite site-urilor web să urmărească utilizatorii Poate le cunoaște.
Bug afectează browserul Apple Safari 15 pe macOS și Toate browserele Pe iOS și iPadOS 15 – Deoarece Apple cere ca toate browserele de pe iOS să se bazeze pe propriul motor WebKit, mai degrabă decât pe alternative precum Chromium’s Blink sau Mozilla’s Gecko.
Fingerprint.js, producător de biblioteci de fraudă și de detectare a rețelelor botnet, a dezvăluit problema de confidențialitate a Apple pe 28 noiembrie anul trecut și apoi face publicitate Despre problema din 14 ianuarie, deoarece Apple nu a răspuns la timp.
Eroarea este că Apple WebKit a implementat o bază de date indexată într-un mod care încalcă Aceeași politică de origine (SOP), care formează baza securității browserului.
Când un site web interacționează cu o bază de date IndexedDB, inginerul Fingerprint.js Martin Bajanik explică într-un fișier Postare pe blog, browserul creează o nouă bază de date goală cu același nume în ferestre, file și alte ferestre active care fac parte din aceeași sesiune de browser.
Deoarece aceste ferestre, file și ferestre pot fi asociate cu diferite active – cum ar fi site-uri web – dacă numele bazei de date este disponibil pentru aceste site-uri ar încălca POS.
„Faptul că numele bazelor de date se scurg din diferite origini este o încălcare clară a confidențialității”, a spus Pajanic. „Permite site-urilor web aleatorii să știe ce site-uri web vizitează utilizatorul în diferite file sau ferestre.”
Acest lucru poate fi destul de rău, dar problema de confidențialitate este agravată de faptul că multe site-uri web folosesc identificatori unici în numele lor IndexedDB. Google, de exemplu, adaugă ID-ul de utilizator Google la numele bazelor de date IndexedDB pe site-uri web precum YouTube.com. Acest identificator poate fi folosit pentru a interoga Google People API, de exemplu, pentru a prelua fotografia utilizatorului și eventual alte informații, în funcție de permisiuni.
Avocatul dezvoltatorului Chrome, Jake Archibald, a remarcat că „aceasta este o mare greșeală”. Prin Twitter Când a apărut prima dată problema. „Pe OSX, utilizatorii Safari pot trece (temporar) la alt browser pentru a evita scurgerea datelor lor prin active. Utilizatorii iOS nu au o astfel de opțiune, deoarece Apple blochează alte motoare de browser”.
Refuzul încăpățânat al Apple de a permite alte motoare de browser în iOS a fost un punct dureros pentru producătorii de browsere concurenți de ani de zile. I-a făcut pe oameni să argumenteze asta Safari este noul browser Internet Explorer – Un browser care îi blochează pe toți ceilalți – și că regulile platformei Apple sunt necompetitive, susțin Autoritățile britanice de reglementare, dacă nu și altele, au început recent să o ia în serios.
La un nivel mai de bază, problema este că insistența Apple asupra controlului nu este egalată cu receptivitatea față de clienții săi. Apple nu trebuie să se potrivească cu cadența de lansare a concurenților care se mișcă mai rapid, deoarece nu există concurență între browserele iOS. Este WebKit sau nimic dacă utilizați un iPhone sau iPad.
La aproape două luni de la raportarea erorii IndexedDB, nu există nicio remediere disponibilă public. Situația a fost similară anul trecut când a apărut o eroare de stocare locală în luna mai. Deși inginerii Apple WebKit sunt pe meritul lor, răspuns imediatAceastă remediere nu a fost disponibilă până în iulie, când Apple a lansat Safari 14.1.2. Între timp, programatorii companiei Pentru a sparge baza de date indexată – O eroare separată, acum rezolvată, a împiedicat deschiderea bazelor de date.
Cel puțin Apple pare să răspundă presiunii publice. Potrivit lui Bajanik, inginerii Apple au început să lucreze la remedierea erorii IndexDB duminică, 16 ianuarie, la două zile după ce Fingerprint.js a dezvăluit public problema. ®
„Geek din cultura pop. Ninja extrem de zombie. Scriitor profesionist. Internet maven.”