يسمح الخطأ المكتشف حديثًا في Safari 15 لأي موقع ويب بتتبع نشاط التصفح الخاص بك وقد يكشف أيضًا عن هويتك إذا كنت من مستخدمي Google.
تنبع المشكلة من تنفيذ Apple لـ IndexedDB ، وهي واجهة برمجة تطبيقات تخزين مدعومة على نطاق واسع من قبل معظم المتصفحات الحديثة ، وتؤثر على مستخدمي Mac وكذلك iPhone و iPad. إليك ما تحتاج إلى معرفته.
يقوم Safari 15 بتسريب بيانات المستخدم
IndexedDB هي واجهة برمجة تطبيقات JavaScript لمتصفحات الويب مصممة لاحتواء كميات كبيرة من البيانات ، بما في ذلك الملفات. يتم استخدامه بواسطة مجموعة كبيرة من تطبيقات الويب لتخزين البيانات على جهازك بحيث يتم تحميلها بشكل أسرع وأكثر استجابة.
يستخدم IndexedDB ما يسمى "سياسة نفس الأصل" - آلية أمان تقيد كيفية تفاعل المستندات أو النصوص التي تم تحميلها من أصل واحد مع الموارد من أصول أخرى. بمعنى آخر ، تمنع سياسة نفس الأصل على موقع الويب من الوصول إلى البيانات المحفوظة بواسطة موقع آخر.
ومع ذلك، في سفاري 15، خطأ يمنع نفس النهج الأصلي من العمل بشكل صحيح. يتيح ذلك للمواقع الوصول إلى قواعد البيانات التي أنشأتها المواقع الأخرى ، مما يسمح لها بمشاهدة عادات التصفح الخاصة بك خارج جدرانها. علاوة على ذلك ، يمكن أن يكون الخطأ قد تسبب في تسريب هويتك.
احذروا مستخدمي جوجل
"علاوة على ذلك ، لاحظنا أنه في بعض الحالات ، تستخدم مواقع الويب معرّفات فريدة خاصة بالمستخدم في أسماء قواعد البيانات ،" يشرح FingerprintJSالذي اكتشف المشكلة لأول مرة. "هذا يعني أنه يمكن تعريف المستخدمين المصادق عليهم بشكل فريد ودقيق."
وذلك لأن بعض مواقع Google الشائعة - بما في ذلك YouTube وتقويم Google و Google Keep - تنشئ قواعد بيانات تتضمن معرف مستخدم Google المصادق عليه. تم إقران هذا المعرف بحساب Google واحد (خاص بك) ، ويمكن استخدامه مع Google APIs لجلب معلومات المستخدم.
يحذر التقرير من أن "هذه التسريبات لا تتطلب أي إجراء محدد من المستخدم". "يمكن لعلامة تبويب أو نافذة تعمل في الخلفية وتستعلم باستمرار عن واجهة برمجة تطبيقات IndexedDB لقواعد البيانات المتاحة ، معرفة مواقع الويب الأخرى التي يزورها المستخدم في الوقت الفعلي."
لا يمكن أن يساعدك الوضع الخاص
قام FingerprintJS بفحص أفضل 1000 موقع من مواقع Alexa لمعرفة عدد المواقع التي تستخدم IndexedDB ووجدت أكثر من 30 موقعًا التي تتفاعل مع واجهة برمجة التطبيقات مباشرة على صفحتها الرئيسية - دون أي تفاعلات خاصة من المستخدم مطلوب. لذلك ، قد تتخلص بعض المواقع من بياناتك ولن تعرف شيئًا عنها.
"نشك في أن هذا الرقم أعلى بشكل ملحوظ في سيناريوهات العالم الحقيقي حيث يمكن لمواقع الويب التفاعل مع قواعد البيانات في الصفحات الفرعية ، أو بعد إجراءات معينة للمستخدم ، أو على أجزاء مصدق عليها من الصفحة."
للأسف ، يتأثر الوضع الخاص في Safari أيضًا بهذا الخطأ. ومع ذلك ، نظرًا لأن الوضع الخاص يقيد جلسات التصفح بعلامة تبويب واحدة ، فإنه يقلل بشكل كبير من كمية المعلومات المتاحة عبر مواقع متعددة.
تحقق مما إذا كنت متأثرًا
يمكنك معرفة ما إذا كنت قد تأثرت بهذا الخطأ من خلال زيارة FingerprintJS ' صفحة إثبات المفهوم. بنقرة واحدة فقط ، يُظهر لك نوع البيانات التي يتسربها Safari عنك - وجميع معرفات مستخدم Google التي يمكنه اكتشافها. إنه مجرد تطبيق بسيط لأغراض توضيحية وهو آمن تمامًا.
أبلغ FingerprintJS عن هذه المشكلة عبر WebKit Bug Tracker في 28 نوفمبر 2021. لا يوجد حل لذلك بعد. ليس هناك الكثير مما يمكنك فعله لحماية نفسك في Safari 15 ، بخلاف حظر جافا سكريبت تمامًا. ومع ذلك ، سيمنع هذا العديد من مواقع الويب من العمل على النحو المنشود وهو ليس فعالًا تمامًا.
إذا كنت قلقًا بشأن هذه المشكلة ، فمن الأفضل لك استخدام متصفح ويب آخر إلى أن تطرح Apple إصلاحًا. وتأكد من تثبيت أي تحديثات Safari بمجرد توفرها.