реклама
В веб-браузере Safari 15 обнаружили ошибку в API клиентского хранилища данных IndexedDB, сообщает Neowin со ссылкой на исследование специалистов FingerprintJS. Уведомление об ошибке передали в систему отслеживания WebKit еще 28 ноября, но исправление до сих пор не выпущено, поэтому FingerprintJS придает проблеме большую огласку.
Множество сайтов используют IndexedDB — базы данных для хранения информации. Каждый сайт создает для себя уникальную базу с определенным именем, которое может содержать не только имя домена, но и уникальные данные, например, идентификатор конкретного пользователя, в том числе, это справедливо для сервисов Google.
реклама
Очевидно, что для безопасности каждый веб-сайт должен иметь доступ только к своей базе данных — это называется политикой ограничения домена (англ. same-origin policy). Как отмечают в FingerprintJS, эта политика не соблюдается в Safari 15. При обращении веб-сайта к своей базе данных IndexedDB, пустая копия этой базы создается для всех открытых в данной сессии окон и вкладок. Копии не содержат данных, но как было сказано ранее, названы в соответствии с именем домена и могут содержать явно идентифицирующую пользователя информацию.
Специалисты создали демонстрирующий уязвимость сайт и показали, как имя базы данных из вкладки с YouTube или Google-почтой позволяет с помощью API Google получить общедоступную личную информацию владельца учетной записи. Так злоумышленники могут узнать личность пользователя и посещаемые им ресурсы. К сожалению, пока защититься от данной уязвимости можно лишь разрешая выполнение JavaScript только на доверенных сайтах.
