یک اشکال در Safari 15 می تواند با فاش کردن هویت شما و حتی اجازه دادن به وب سایت ها برای ردیابی سابقه مرور شما، شما را در برابر شرکت کنندگان مخرب آسیب پذیر کند. در یک پست جدید ترین اخبار اپل ، اثر انگشت JS نشان داد که این خطا به دلیل اجرای Safari 15 از IndexedDB API است.

IndexedDB چیست؟

IndexedDB یک API مرورگر سطح پایین است که اطلاعات مشتری را ذخیره می کند. از سیاستی با همان مبدا پیروی می کند که کنترل می کند چگونه اسکریپت های بارگذاری شده از یک منبع می توانند با منابع منابع دیگر تعامل داشته باشند. به طور خلاصه، یک وب سایت مجاز به پرسه زدن در وب سایت های دیگر نیست زیرا فقط به داده های تولید شده توسط خود دسترسی دارد.

Safari 15 MacOS و همه مرورگرهای iOS و iPadOS 15 این خط مشی را برای همان مبدا نقض می کنند و این عواقب جدی دارد. با این خطا، وب سایت های مخرب نه تنها می توانند از هویت شما مطلع شوند، بلکه چندین حساب کاربری که استفاده می کنید را نیز پیوند می دهند.

چگونه بررسی کنیم که آیا مرورگر شما تحت تأثیر قرار گرفته است یا خیر

اگر مرورگر شما تحت تأثیر این خطا قرار گرفته باشد و از وب‌سایت‌های مختلف در همان بخش بازدید کنید، پایگاه‌های داده مرتبط با آن وب‌سایت‌ها به سایت‌هایی که بعداً به آنها دسترسی پیدا می‌کنید لو می‌شود. اگر از Safari 15 در macOS استفاده کنید، حتی در حالت خصوصی، در برابر نشت اطلاعات آسیب پذیر هستید. همه مرورگرهای iOS و iPadOS 15 نیز تحت تأثیر قرار می گیرند.

FingerprintJS نشانی از اثبات مفهوم ایجاد کرده است که اگر از iPhone، Mac یا iPad استفاده می کنید، می توانید خودتان آن را امتحان کنید. اگر مرورگر شما تحت تأثیر قرار گرفته باشد، نشان می دهد که تاریخچه مرور و هویت شما چگونه منقضی شده است. لازم به ذکر است که اعتبار شما تنها در صورتی در دسترس خواهد بود که قبلاً وارد حساب Google خود شده باشید.

تاریخچه وب سایت در Safari 15 (از طریق IndexedDB) به بیرون درز می کند. یک نشت جالب از حریم خصوصی. #GDPR https://t.co/Fz491ZiDOn pic.twitter.com/d6UDxvb9Cv

– Lukasz Olejnik (@lukOlejnik) 15 ژانویه 2022

اپل در مورد آن چه می کند؟

فعلا هیچی FingerprintJS این اشکال را در WebKit Bug Tracker در 28 نوامبر 2021 گزارش کرد. اپل باید با به‌روزرسانی‌های نرم‌افزاری این اشکال را برطرف کند، اما این شرکت هنوز به این مشکل رسیدگی نکرده است.

متأسفانه، هیچ راه حل آسانی وجود ندارد که کاربران مک، آی پد او اس و iOS بتوانند آن را پیاده سازی کنند. شما می توانید تمام جاوا اسکریپت را به طور پیش فرض مسدود کنید و آن را فقط برای سایت های قابل اعتماد فعال کنید. با این حال، این به طرز دردناکی ناراحت کننده است و مطمئناً تجربه موج سواری شما را خراب می کند. خوشبختانه، اپل همچنان به کاربران مک این امکان را می دهد که تا زمانی که این باگ برطرف نشود، به مرورگرهای دیگر سوئیچ کنند. اما هیچ وقفه ای برای کاربران iOS و iPadOS وجود ندارد، زیرا همه مرورگرها در این دستگاه ها تحت تأثیر قرار می گیرند.

استقرار یک رفع اشکال که تنها راه حل عملی برای این تهدید است.

[Via FingerprintJS]