บั๊กที่เพิ่งค้นพบใน Safari 15 ทำให้เว็บไซต์ใดๆ สามารถติดตามกิจกรรมการท่องเว็บของคุณ และอาจเปิดเผยตัวตนของคุณหากคุณเป็นผู้ใช้ Google
ปัญหานี้เกิดจากการใช้ IndexedDB ของ Apple ซึ่งเป็น API การจัดเก็บข้อมูลที่ได้รับการสนับสนุนอย่างกว้างขวางจากเบราว์เซอร์สมัยใหม่ส่วนใหญ่ และส่งผลกระทบต่อผู้ใช้บน Mac เช่นเดียวกับ iPhone และ iPad นี่คือสิ่งที่คุณต้องรู้
Safari 15 กำลังรั่วข้อมูลผู้ใช้
IndexedDB คือ JavaScript API สำหรับเว็บเบราว์เซอร์ที่ออกแบบมาเพื่อเก็บข้อมูลจำนวนมาก รวมทั้งไฟล์ เว็บแอปจำนวนมากใช้เพื่อจัดเก็บข้อมูลในเครื่องของคุณ เพื่อให้สามารถโหลดได้เร็วขึ้นและตอบสนองได้ดียิ่งขึ้น
IndexedDB ใช้สิ่งที่เรียกว่า "นโยบายต้นทางเดียวกัน" ซึ่งเป็นกลไกความปลอดภัยที่จำกัดวิธีที่เอกสารหรือสคริปต์ที่โหลดจากต้นทางหนึ่งสามารถโต้ตอบกับทรัพยากรจากต้นทางอื่นได้ กล่าวอีกนัยหนึ่ง นโยบายต้นทางเดียวกันจะป้องกันไม่ให้เว็บไซต์เข้าถึงข้อมูลที่บันทึกไว้โดยผู้อื่น
อย่างไรก็ตาม ใน ซาฟารี15ข้อบกพร่องทำให้นโยบายเดิมเดิมทำงานไม่ถูกต้อง สิ่งนี้ทำให้เว็บไซต์สามารถเข้าถึงฐานข้อมูลที่สร้างโดยไซต์อื่น ๆ ทำให้สามารถดูพฤติกรรมการท่องเว็บของคุณนอกกำแพงได้ ยิ่งไปกว่านั้น บั๊กยังอาจทำให้ข้อมูลประจำตัวของคุณรั่วไหลได้
ระวัง ผู้ใช้ Google
“ยิ่งไปกว่านั้น เราสังเกตว่าในบางกรณี เว็บไซต์ใช้ตัวระบุเฉพาะผู้ใช้เฉพาะในชื่อฐานข้อมูล” อธิบายลายนิ้วมือJSซึ่งได้ค้นพบปัญหาครั้งแรก “ซึ่งหมายความว่าผู้ใช้สามารถระบุตัวตนได้อย่างแม่นยำและไม่ซ้ำใคร”
เนื่องจากไซต์ Google ยอดนิยมบางแห่ง รวมถึง YouTube, Google ปฏิทิน และ Google Keep สร้างฐานข้อมูลที่มี ID ผู้ใช้ Google ที่ตรวจสอบสิทธิ์ของคุณ ID นี้ถูกจับคู่กับบัญชี Google บัญชีเดียว (ของคุณ) และใช้กับ Google API เพื่อดึงข้อมูลผู้ใช้ได้
“โปรดทราบว่าการรั่วไหลเหล่านี้ไม่ต้องการการดำเนินการใด ๆ ของผู้ใช้” รายงานเตือน “แท็บหรือหน้าต่างที่ทำงานอยู่เบื้องหลังและค้นหา IndexedDB API อย่างต่อเนื่องสำหรับฐานข้อมูลที่มีอยู่ สามารถเรียนรู้ว่าเว็บไซต์อื่นๆ ที่ผู้ใช้เข้าชมแบบเรียลไทม์คืออะไร”
โหมดส่วนตัวช่วยคุณไม่ได้
FingerJS ตรวจสอบเว็บไซต์ 1,000 อันดับแรกของ Alexa เพื่อดูว่ามีผู้ใช้ IndexedDB จำนวนเท่าใดและพบว่ามากกว่า 30 ที่โต้ตอบกับ API โดยตรงบนหน้าแรก — โดยไม่ต้องโต้ตอบกับผู้ใช้เป็นพิเศษ ที่จำเป็น. ดังนั้น บางไซต์สามารถขูดข้อมูลของคุณ และคุณจะไม่รู้อะไรเกี่ยวกับมันเลย
“เราสงสัยว่าตัวเลขนี้จะสูงขึ้นอย่างมากในสถานการณ์จริง เนื่องจากเว็บไซต์สามารถโต้ตอบกับฐานข้อมูลในหน้าย่อย หลังจากดำเนินการบางอย่างของผู้ใช้ หรือในส่วนที่ตรวจสอบความถูกต้องของหน้า”
น่าเศร้าที่โหมดส่วนตัวของ Safari ก็ได้รับผลกระทบจากบั๊กเช่นกัน อย่างไรก็ตาม เนื่องจากโหมดส่วนตัวจำกัดเซสชันการท่องเว็บไว้ที่แท็บเดียว จึงลดปริมาณข้อมูลที่มีอยู่ในหลาย ๆ ไซต์ได้อย่างมาก
ดูว่าคุณได้รับผลกระทบหรือไม่
คุณสามารถตรวจสอบว่าคุณได้รับผลกระทบจากข้อผิดพลาดนี้หรือไม่โดยไปที่ FingerprintJS ' หน้าพิสูจน์แนวคิด. เพียงคลิกเดียว จะแสดงให้คุณเห็นว่าข้อมูลประเภทใดที่ Safari รั่วไหลเกี่ยวกับตัวคุณ และรหัสผู้ใช้ Google ทั้งหมดที่ตรวจพบได้ เป็นเพียงแอปง่าย ๆ เพื่อการสาธิตและปลอดภัยอย่างสมบูรณ์
FingerJS รายงานปัญหานี้ ผ่าน WebKit Bug Tracker เมื่อวันที่ 28 พฤศจิกายน 2564 ยังไม่มีการแก้ไขสำหรับมัน การป้องกันตัวเองใน Safari 15 ทำได้เพียงเล็กน้อย ยกเว้นการบล็อก JavaScript ทั้งหมด อย่างไรก็ตาม วิธีนี้จะป้องกันไม่ให้เว็บไซต์จำนวนมากทำงานตามที่ตั้งใจไว้และไม่ได้ผลทั้งหมด
หากคุณกังวลเกี่ยวกับปัญหานี้ คุณควรจะใช้เว็บเบราว์เซอร์อื่นจนกว่า Apple จะเปิดตัววิธีแก้ไข และอย่าลืมติดตั้งการอัปเดตของ Safari ทันทีที่มีให้บริการ
