Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Ошибка в браузере Safari позволяет веб-сайтам узнать адреса сайтов, открытых в других вкладках и окнах

21/01/22

SafariВеб-сайты могут собирать информацию об адресах всех остальных сайтов, открытых в других вкладках и окнах. В Apple ошибку исправили, но пакет обновлений для пользователей пока не подготовлен.

 Специалисты сервиса FingerprintJS обнаружили серьезную ошибку в браузере Safari. Она связана с реализацией в браузере интерфейса базы данных IndexedDB, который часто используется веб-сайтами для сохранения информации на стороне пользователя. Проблема заключается в том, что при взаимодействии веб-сайта с IndexedDB в Safari во всех остальных открытых вкладках, окнах и фреймах браузера создаются новые пустые базы данных с тем же именем, что и в исходной вкладке.
 

Хотя данные из исходной вкладки в них не попадают, само имя базы данных обычно несет в себе информацию о веб-сайте, который ее использует. Иногда веб-сайты включают в имя базы данных даже уникальные идентификаторы пользователей. К таким сайтам относятся, например, YouTube, Google Calendar и Google Keep. Таким образом, узнав имя базы данных, посторонний сайт узнает и идентификатор пользователя Google, через который можно извлечь некоторые сведения о пользователе — как минимум, изображение в профиле.

В Apple, судя по записям в системе контроля исходного кода движка WebKit, который используется в браузере Safari, уже нашли и исправили ошибку. Но пакет исправлений для конечных пользователей пока не подготовлен.

Темы:поисковикиУгрозыданные пользователейSafari
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...