یک باگ جدید در Safari 15 به هر وب سایتی اجازه می دهد تا فعالیت مرور شما را ردیابی کند و حتی اگر کاربر گوگل هستید هویت شما را فاش کند.

مشکل از پیاده‌سازی IndexedDB توسط اپل ناشی می‌شود، یک API ذخیره‌سازی که به طور گسترده توسط اکثر مرورگرهای مدرن پشتیبانی می‌شود و بر کاربران مک و همچنین آیفون‌ها و آی‌پدها تأثیر می‌گذارد. در اینجا چیزی است که شما باید بدانید.

سافاری 15 اطلاعات کاربران را فاش می کند

IndexedDB یک API جاوا اسکریپت برای مرورگرهای وب است که برای ذخیره حجم زیادی از داده ها از جمله فایل ها طراحی شده است. این توسط طیف گسترده ای از برنامه های کاربردی وب برای ذخیره داده ها در دستگاه شما استفاده می شود تا سریعتر بارگذاری شود و سریعتر پاسخ دهد.

IndexedDB از آنچه «خط مشی منبع یکسان» نامیده می شود استفاده می کند – یک مکانیسم امنیتی که نحوه تعامل اسناد یا اسکریپت های بارگذاری شده از یک منبع را با منابع منبع دیگر محدود می کند. به عبارت دیگر، همان سیاست مبدا به وب سایت اجازه دسترسی به داده های ذخیره شده توسط دیگری را نمی دهد.

با این حال، در Safari 15، یک خطا اجازه نمی دهد که همان سیاست اصلی به درستی کار کند. این به وب‌سایت‌ها امکان دسترسی به پایگاه‌های اطلاعاتی ایجاد شده توسط سایر سایت‌ها را می‌دهد و به آن‌ها اجازه می‌دهد عادات مرور شما را در خارج از دیوار خود ببینند. علاوه بر این، این اشتباه حتی ممکن است هویت شما را آشکار کند.

مراقب باشید، کاربران گوگل

FingerprintJS که اولین کسی بود که این مشکل را کشف کرد، توضیح می‌دهد: «ما همچنین متوجه شده‌ایم که در برخی موارد، وب‌سایت‌ها از شناسه‌های منحصر به فرد کاربر در نام پایگاه داده استفاده می‌کنند. “این بدان معنی است که کاربران احراز هویت شده را می توان به طور منحصر به فرد و دقیق شناسایی کرد.”

این به این دلیل است که برخی از سایت‌های محبوب Google – از جمله YouTube، Google Calendar و Google Keep – پایگاه‌های داده‌ای ایجاد می‌کنند که شامل شناسه کاربری تأیید شده Google شما است. این شناسه با یک حساب Google (شما) جفت شده است و می تواند با API Google برای بازیابی اطلاعات کاربر استفاده شود.

در این گزارش هشدار داده شده است: «لطفا توجه داشته باشید که این نشت‌ها نیازی به اقدام خاصی برای مصرف‌کننده ندارند. بخش یا پنجره‌ای که در پس‌زمینه اجرا می‌شود و دائماً از IndexedDB API برای پایگاه‌های داده موجود پرس و جو می‌کند، می‌تواند بفهمد کاربر از چه وب‌سایت‌های دیگری بازدید می‌کند.»

حالت خصوصی نمی تواند به شما کمک کند

FingerprintJS 1000 وب سایت برتر الکسا را ​​بررسی کرد تا ببیند چه تعداد از IndexedDB استفاده می کنند و بیش از 30 وب سایت را پیدا کرد که مستقیماً در صفحه اصلی خود با API تعامل دارند – بدون نیاز به تعامل ویژه با کاربر. بنابراین برخی از سایت ها می توانند داده های شما را خراش دهند و شما چیزی در مورد آن نمی دانید.

“ما گمان می کنیم که این عدد در سناریوهای واقعی به طور قابل توجهی بیشتر باشد، زیرا وب سایت ها می توانند با پایگاه داده های صفحه فرعی، به دنبال اقدامات خاص کاربر یا بخش های تأیید شده صفحه، تعامل داشته باشند.”

متأسفانه حالت خصوصی سافاری نیز تحت تأثیر خطا قرار گرفته است. با این حال، از آنجایی که حالت خصوصی جلسات مرور را به یک بخش محدود می کند، به میزان قابل توجهی میزان اطلاعات موجود در چندین سایت را کاهش می دهد.

ببینید آیا تحت تأثیر قرار گرفته اید یا خیر

می توانید با مراجعه به صفحه اثبات مفهومی FingerprintJS متوجه شوید که آیا تحت تأثیر این خطا قرار گرفته اید یا خیر. تنها با یک کلیک، به شما نشان می دهد که چه اطلاعاتی از Safari در مورد شما درز می کند – و همه شناسه های کاربری Google که می تواند پیدا کند. این یک برنامه نمایشی ساده است و کاملاً ایمن است.

FingerprintJS این مشکل را از طریق WebKit Tracker برای اشکالات در 28 نوامبر 2021 گزارش کرد. هنوز هیچ راه حلی برای آن وجود ندارد. و در Safari 15، به جز مسدود کردن کامل جاوا اسکریپت، نمی توانید کاری برای محافظت از خود انجام دهید. با این حال، این کار باعث می شود که بسیاری از وب سایت ها نتوانند طبق برنامه کار کنند و کاملاً مؤثر نیستند.

اگر نگران این مشکل هستید، بهتر است از مرورگر وب دیگری استفاده کنید تا زمانی که اپل این مشکل را منتشر کند. و فراموش نکنید که همه به‌روزرسانی‌های سافاری را به محض در دسترس قرار گرفتن نصب کنید.