Исследователи нашли уязвимость в Safari — она позволяет узнать историю браузера и имена пользователей Google Статьи редакции
При посещении сайта браузер создаёт базу данных с недавней активностью пользователя, к которой могут получить доступ другие сайты.
- Уязвимость есть в Safari 15 на всех устройствах и в сторонних браузерах, которые работают на iOS 15 и iPadOS 15, выяснили исследователи из FingerprintJS.
- Она связана со стандартом IndexedDB, который позволяет сайтам сохранять базы данных на устройствах пользователя.
- Обычно при его нормальной работе доступ к базе данных, которую создаёт сайт, может получить только он. В Safari при доступе сайта к своей базе браузер создаёт новую пустую базу данных с тем же именем во всех вкладках и окнах в сессии. В результате сайты могут узнавать, какие другие сайты посещает пользователь.
- Сервисы Google, в том числе YouTube и календарь, заносят имя пользователя в название базы данных. Получив логин, мошенники могут узнать другую информацию — например, фамилию, имя и фотографию аккаунта.
- FingerprintJS создала сайт, на котором можно посмотреть, как работает уязвимость — при его посещении с Safari 15 отображается недавняя активность пользователя.
- Специалисты сообщили Apple об ошибке 28 ноября 2022 года, но её до сих пор не устранили.
А мне теперь перед ребятами краснеть приходится ((
Напомню, что Apple не разрешает использовать сторонние движки браузеров как раз из-за "безопасности пользователей". Chrome и Firefox в iOS — это тот же Safari, просто с другим интерфейсом.
Запустил Хром на Аймаке на М1 и что же там написано "Браузер Chrome создан на основе проекта Chromium и другого программного обеспечения с открытым исходным кодом." Фантастика! Хром это тот же Сафари 🙂
Вы пропустили ключевую фразу — "в iOS"
Да ладно тот же Сафари. Ты серьезно? Тим Кук отдал исходники Сафари в Гугл, чтобы они смогли сделать Хром для Apple )))
"WebKit is a cross-platform web browser engine. On iOS and macOS, it powers Safari, Mail, iBooks, and many other applications."
Смешно получилось, правда?
Причем тут исходники Safari? Любой желающий может сделать приложение, используя webview (Webkit движок, используемый в Safari), по правилам App Store никакие другие движки не разрешены
https://developer.apple.com/app-store/review/guidelines/
И да, Webkit (Safari) опенсорсный, Blink (Chrome) изначально был форкнут от него.
Не будешь по яндексам и vk-шечкам шляться (иронизирую)
Но согласен, страшно
Немного радуюсь, что я уже давно превратился в параноика с шапочкой из фольги и все сайты посещаю в Private вкладках, без сохранения кук, датабаз и тд
Ииии? Разве все это уже не слито тыщу раз через сам Google.
Но ведь Apple это про конфиденциальнось.
"Получив логин, мошенники могут узнать другую информацию — например, фамилию, имя и фотографию аккаунта."
Ребят, да в любом случае ваши данные и так в интернете, вк, инста, тикток и прочее
Чем больше стартовой информации, тем легче заполучить другие данные конкретного человека
Несколько месяцев назад Apple сломал indexeddb, потом localstorage, сейчас уже два месяца сломаны сокеты https://developer.apple.com/forums/thread/694113 и вот эта уязвимость.
При этом переход на другие браузеры (движки) на iPhone’ах запрещен, но да, самый лучший телефон =).
на Iphone и маках можно пользоваться Хромом или Огненной Лисой
В айфонах хром и фаерфокс основаны на движке Webkit (Safari), а не на своих.
А потом говорят, куки безвредны, не стоит их удалять. У тебя параноя. Вот поэтому режим по-умолчанию во всех браузерах у меня Incognito. Там где нужно сохранять куки, использую отдельные профили.
К сожалению это не про куки и даже режим инкогнито не спасёт.
Еще как спасет, через эту уязвимость могут сколько угодно получать информацию мошенники из моего браузера, но это информация будет девственно чистая, как будто я с нового компьютера каждый раз. А куки там, не куки или какие-то внутреннее базы от других веб-сайтов разницы нет, это все одно и то же для пользователя. Пользователи это хранят у себя в веб-браузере и понятие не имеют, что это от этого только вред.
А в Сафари на macOS, кстати, приватный режим работает еще круче, чем Incognito в Хроме и чем в любом другом браузере. Там не каждую отдельную вкладку открывается девственное чистый профиль с отдельными куками и всем дерьмом, что веб-сайты собирают и хранят на компьютерах пользователей. В Хроме или Лисе, чтобы этого добиться, необходимо открыть больше одного экземпляра самого веб-браузера с разными профилями.
Нет, всё же не спасёт. Можете почитать оригинальную статью, там про инкогнито тоже есть, или даже проверить сами: откройте приватный режим, войдите на любой из перечисленных в демке https://safarileaks.com/ сайтов, а потом проверьте демку, можете даже открыть новую вкладку, это не поможет, демка покажет на каком сайте вы только что залогинились. 🤷♂️
Я так понимаю вы об этой части:
In this case, private mode in Safari 15 is also affected by the leak. It’s important to note that browsing sessions in private Safari windows are restricted to a single tab, which reduces the extent of information available via the leak. However, if you visit multiple different websites within the same tab, all databases these websites interact with are leaked to all subsequently visited websites. Note that in other WebKit-based browsers, for example Brave or Google Chrome on iOS, private tabs share the same browser session in the same way as in non-private mode.
Это же всё, как я и описал чуть выше. Один в один.
То есть, в пределах сессии одного таба, если было посещено несколько веб-сайтов и последний, к примеру, окажется мошенничский, то мошенники с помощью уязвимости узнают об этих ничтожных нескольких сайтах. Но не в коем случае не получат доступ indexdb других профилей, включая стандартный "не приватный" и профили других приватных табов. Именно поэтому я и использую приватные режимы в браузерах по умолчанию, по закрытии приватной сессии (или таба в Сафари), всякие куки и базы уничтожаются, а в новой Incognito сессии или новом приватном табе в Сафари никакой предыдущий информации нет.
Меня эта уязвимость не затрагивает, потому что мой паттерн использования веб-браузеров уже предполагает, что такая уязвимость всегда была, есть и будет 🤷♂️
Я просто не допускаю варианта, что они типа "починят" или должны починить, и на это не надеюсь.
Совместно с Марафон Букмекерская Полная ищут:
- marathonbet зеркало сайта работающее сегодня
- марафон сом зеркало
- марафон зеркало рабочее сегодня мобильная
- марафон букмекерская контора промокод
- марафон букмекерская контора официальный скачать
- марафонбет веб версия