Safari 15 漏洞可能会泄露您最近的浏览活动和个人标识符

该错误可能会将您的 Google 用户 ID 暴露给其他网站

图片[1]-Safari 15 漏洞可能会泄露您最近的浏览活动和个人标识符-零度博客

根据浏览器指纹识别和欺诈检测服务(通过9to5Mac ) FingerprintJS 的调查结果, Safari 15中的一个错误可能会泄露您的浏览活动,还可能会泄露您的 Google 帐户所附的一些个人信息。该漏洞源于 Apple 实施IndexedDB的问题,IndexedDB是一种在浏览器上存储数据的应用程序编程接口 (API)。

正如 FingerprintJS 所解释的,IndexedDB 遵守同源策略,该策略限制一个来源与从其他来源收集的数据进行交互——本质上,只有生成数据的网站才能访问它。例如,如果您在一个选项卡中打开您的电子邮件帐户,然后在另一个选项卡中打开恶意网页,则同源策略会阻止恶意页面查看和干预您的电子邮件。

FingerprintJS 发现苹果在 Safari 15 中应用 IndexedDB API 实际上违反了同源策略。当网站与 Safari 中的数据库交互时,FingerprintJS 表示“在同一浏览器会话中的所有其他活动框架、选项卡和窗口中创建了一个具有相同名称的新(空)数据库。”

这意味着其他网站可以看到在其他网站上创建的其他数据库的名称,其中可能包含特定于您身份的详细信息。FingerprintJS 指出使用您的 Google 帐户的网站,例如 YouTube、Google 日历和 Google Keep,都会生成数据库,其名称中包含您唯一的 Google 用户 ID。您的 Google 用户 ID 允许 Google 访问您的公开信息,例如您的个人资料照片,Safari 漏洞可能会将这些信息暴露给其他网站。

FingerprintJS 创建了一个概念验证演示,如果您在 Mac、iPhone 或 iPad 上安装 Safari 15 及更高版本,您可以试用。该演示使用浏览器的 IndexedDB 漏洞来识别您打开(或最近打开)的网站,并展示利用该漏洞的网站如何从您的 Google 用户 ID 中抓取信息。它目前只检测到 30 个受该漏洞影响的流行网站,例如 Instagram、Netflix、Twitter、Xbox,但它可能影响的可能更多。

不幸的是,你无法解决这个问题,因为 FingerprintJS 说这个错误也会影响 Safari 上的隐私浏览模式。您可以在 macOS 上使用其他浏览器,但Apple 对 iOS 的第三方浏览器引擎禁令意味着所有浏览器都会受到影响。FingerprintJS 在 11 月 28 日向 WebKit Bug Tracker 报告了泄漏,但 Safari 还没有更新。The Verge联系了苹果公司,要求发表评论,但没有立即收到回复。

THE END
喜欢就支持一下吧
点赞2251 分享
如何给视频、图片去除水印?这两个方法可以帮你节省很多时间!!-零度博客

如何给视频、图片去除水印?这两个方法可以帮你节省很多时间!!

1.视频去水印:Video-subtitle-remover (VSR) 是一款基于AI技术,将视频中的硬字幕去除的软件。 主要实现了以下功能:无损分辨率将视频中的硬字幕去除,生成去除字幕后的文件通过超强AI算法模型...
admin的头像-零度博客admin
8W+6262
OpenAI Sora 视频功能终于发布啦!正式使用入口在这里-零度博客

OpenAI Sora 视频功能终于发布啦!正式使用入口在这里

在人工智能快速发展的今天,OpenAI 再次突破技术边界,正式发布了备受期待的 Sora 视频生成功能。作为业界领先的人工智能公司,OpenAI 的这一发布无疑为创作者、企业及普通用户带来了全新的内容...
admin的头像-零度博客admin
2.9W+2808
黑客一直在向伪装成礼物的美国公司发送充满恶意软件的 U 盘-零度博客

黑客一直在向伪装成礼物的美国公司发送充满恶意软件的 U 盘

“恶意 U盘”的伎俩虽然已经很老套了,但显然它仍然在骗子中广受欢迎。 外观友好的 USB 记忆棒是恶意软件传播的载体,与互联网本身一样古老,显然,它们仍然很受犯罪分子的欢迎。 周四,联邦调...
admin的头像-零度博客admin
1.5W+2251
Watt Toolkit 一款能白嫖加速的软件!免费开源-零度博客

Watt Toolkit 一款能白嫖加速的软件!免费开源

Watt Toolkit 是一款能白嫖加速的软件,之前是叫做Steam++,电脑自带的微软商城就能下载。 在黑神话·悟空火爆全网,但是有些小伙伴下载了Steam发现,网络无法连接,而雷电、UU、迅游等加速器又...
admin的头像-零度博客admin
2.5W+3252
7个非常不可思议的网站,很少人知道但真的超级有趣实用!| 零度解说-零度博客
罗福莉是Deepseek核心开发人员吗? 有疑问可以直接问各大主流AI-零度博客

罗福莉是Deepseek核心开发人员吗? 有疑问可以直接问各大主流AI

今天发布有关罗福莉的相关视频,看到部分观众在质疑她的成分,其实有疑问是对的,但是在怀疑的同时需要自身去探索正确答案,不要轻易相信哪些小道消息!有什么问题直接问各大主流的AI就可以了,...
Amazon云服务器、Lightsail流量用尽后自动关机脚本!防止被意外扣费-零度博客

Amazon云服务器、Lightsail流量用尽后自动关机脚本!防止被意外扣费

1.安装依赖: sudo apt install vnstat bc -y 2.查看自己的网卡名称,一般是ens5。输入命令:ip link  可以查到 3.打开vnstat配置文件 sudo nano /etc/vnstat.conf 修改下面几项配置: Interfa...
admin的头像-零度博客admin
1.4W+1527
Llama 3 大模型最简单的下载方法!实现本地可视化部署-零度博客

Llama 3 大模型最简单的下载方法!实现本地可视化部署

Llama 3 模型的发布彰显了Meta在开源AI领域的决心和影响力。我们有理由期待,Llama 3将为自然语言处理、机器学习等AI前沿技术的发展注入新动力。 在线使用:【链接直达】 不仅可以智能对话,也可...
admin的头像-零度博客admin
2.2W+2177
快删除!12款APP暗藏病毒会偷抢钱,已逾220万人受害!! | 零度解说-零度博客