باگ مرورگر Safari که توسط شرکت امنیتی FingerprintJS (از طریق 9to5Mac) شناسایی شده است، میتواند به هر وبسایتی اجازه دهد تا سابقه مرور شما و حتی برخی از اطلاعات مربوط به حساب کاربری واردشده Google را ردیابی کند.
جزئیات کامل باگ مرورگر Safari؛ مرورگر دستگاههای اپل
باگ مرورگر Safari در پیادهسازی IndexedDB Safari در مک و iOS وجود دارد که به وبسایتها اجازه میدهد نام پایگاههای داده را برای هر دامنه و نه فقط دامنه خود ببینند. IndexedDB یک API جاوا اسکریپت است که طبق این گزارش “مقدار قابل توجهی داده” را در خود جای داده است.
سپس میتوان از این نامهای پایگاه داده برای استخراج اطلاعات شناسایی از یک جدول جستجو استفاده کرد؛ به عنوان مثال، سرویسهای Google، یک نمونه IndexedDB را برای هر یک از حسابهای وارد شده شما ذخیره میکنند، سایتهای مخرب میتوانند به این مورد دسترسی داشته باشند تا اطلاعات دیگری درباره شما، مانند تصویر نمایه حساب Google شما کشف کنند.
در حالی که نسخهی نمایشی برای اثبات مفهوم توسط FingerprintJS تنها فهرستی از حدود ۳۰ سایت را نگه میدارد، احتمال استفاده از این اکسپلویت در مجموعهای بسیار بزرگتر وجود دارد. تقریباً هر سایتی که از IndexedDB JavaScript API استفاده میکند میتواند در برابر چنین عوامل مخربی آسیبپذیر باشد.
متأسفانه، برای رفع باگ مرورگر Safari به جز مسدود کردن کامل جاوا اسکریپت در سایتهای غیرقابل اعتماد، کار زیادی نمیتوان انجام داد زیرا انجام این کار احتمالاً باعث شکستن مطالب در صفحات وب خواهد شد.
بدیهی است که تنها راه حل مناسب میتواند به تنهایی توسط اپل اعمال شود. مرورگرهایی مانند Chrome -کروم- فقط به وبسایتها اجازه میدهند به پایگاههای اطلاعاتی موجود در IndexedDB که با همان نام دامنه خودشان ایجاد شده است، دسترسی داشته باشند و وقت آن است که اپل در مورد رفع باگ مرورگر Safari نیز به همان سمت حرکت کند.
شرکت امنیتی FingerprintJS میگوید که قبلاً این باگ را در تاریخ ۲۸ نوامبر (۷ آذر) به اپل گزارش کرده است، اما هنوز راه حلی برای رفع آن ارائه نکرده است.
سلام مطاب عالی بود