Safari 15'te yeni keşfedilen bir hata, herhangi bir web sitesinin tarama etkinliğinizi izlemesine olanak tanır ve hatta bir Google kullanıcısıysanız kimliğinizi ortaya çıkarabilir.
Sorun, Apple'ın çoğu modern tarayıcı tarafından geniş çapta desteklenen bir depolama API'si olan IndexedDB'yi uygulamasından kaynaklanıyor ve bu, iPhone ve iPad'in yanı sıra Mac'teki kullanıcıları da etkiliyor. İşte bilmeniz gerekenler.
Safari 15 kullanıcı verilerini sızdırıyor
IndexedDB, dosyalar da dahil olmak üzere büyük miktarda veriyi tutmak üzere tasarlanmış web tarayıcıları için bir JavaScript API'sidir. Çok çeşitli web uygulamaları tarafından, daha hızlı yüklenmeleri ve daha hızlı yanıt vermeleri için verileri makinenizde depolamak için kullanılır.
IndexedDB, bir kaynaktan yüklenen belgelerin veya komut dosyalarının diğer kaynaklardan gelen kaynaklarla nasıl etkileşime girebileceğini kısıtlayan bir güvenlik mekanizması olan "aynı kaynak ilkesi" olarak adlandırılan şeyi kullanır. Başka bir deyişle, aynı kaynak politikası, web sitesinin başkaları tarafından kaydedilen verilere erişmesini engeller.
Ancak, içinde 15, bir hata, aynı orijinal ilkenin doğru şekilde çalışmasını engeller. Bu, web sitelerine diğer siteler tarafından oluşturulan veritabanlarına erişim sağlayarak, göz atma alışkanlıklarınızı duvarlarının dışında görmelerine olanak tanır. Dahası, hata kimliğinizi bile sızdırıyor olabilir.
Dikkat, Google kullanıcıları
"Ayrıca, bazı durumlarda web sitelerinin veritabanı adlarında benzersiz kullanıcıya özel tanımlayıcılar kullandığını gözlemledik" FingerprintJS'yi açıklar, bu sorunu ilk keşfetti. "Bu, kimliği doğrulanmış kullanıcıların benzersiz ve kesin bir şekilde tanımlanabileceği anlamına gelir."
Bunun nedeni, YouTube, Google Takvim ve Google Keep dahil olmak üzere bazı popüler Google sitelerinin kimliği doğrulanmış Google Kullanıcı Kimliğinizi içeren veritabanları oluşturmasıdır. Bu kimlik, tek bir Google hesabıyla (sizinki) eşleştirilir ve kullanıcı bilgilerini almak için Google API'leri ile kullanılabilir.
Raporda, "Bu sızıntıların belirli bir kullanıcı eylemi gerektirmediğine dikkat edin" uyarısında bulunuyor. "Arka planda çalışan ve mevcut veritabanları için IndexedDB API'sini sürekli olarak sorgulayan bir sekme veya pencere, bir kullanıcının gerçek zamanlı olarak başka hangi web sitelerini ziyaret ettiğini öğrenebilir."
Özel mod size yardımcı olamaz
FingerprintJS, Alexa'nın en iyi 1000 web sitesini kontrol etti ve kaç tanesinin IndexedDB kullandığını ve 30'dan fazlasını bulduğunu gördü. API ile doğrudan ana sayfalarında etkileşime giren - herhangi bir özel kullanıcı etkileşimi olmadan gereklidir. Bu nedenle, bazı siteler verilerinizi sıyırabilir ve bunun hakkında hiçbir şey bilemezsiniz.
“Web siteleri, belirli kullanıcı eylemlerinden sonra veya sayfanın kimliği doğrulanmış bölümlerinde alt sayfalardaki veritabanlarıyla etkileşime girebildiğinden, bu sayının gerçek dünya senaryolarında önemli ölçüde daha yüksek olduğundan şüpheleniyoruz.”
Ne yazık ki, Safari'nin Özel modu da hatadan etkileniyor. Ancak Özel mod, göz atma oturumlarını tek bir sekmeyle sınırladığından, birden çok sitede bulunan bilgi miktarını büyük ölçüde azaltır.
Etkilenip etkilenmediğine bakın
FingerprintJS' adresini ziyaret ederek bu hatadan etkilenip etkilenmediğinizi öğrenebilirsiniz. kavram kanıtı sayfası. Tek bir tıklamayla Safari'nin hakkınızda ne tür veriler sızdırdığını ve algılayabileceği tüm Google Kullanıcı Kimliklerini gösterir. Bu sadece tanıtım amaçlı basit bir uygulamadır ve tamamen güvenlidir.
FingerprintJS bu sorunu bildirdi WebKit Hata İzleyici aracılığıyla 28 Kasım 2021'de. Henüz bunun için bir düzeltme yok. Safari 15'te kendinizi korumak için JavaScript'i tamamen engellemek dışında yapabileceğiniz çok az şey var. Ancak bu, birçok web sitesinin amaçlandığı gibi çalışmasını engeller ve tamamen etkili olmaz.
Bu sorunla ilgili endişeleriniz varsa, Apple bir düzeltme yayınlayana kadar başka bir web tarayıcısı kullanmaktan daha iyi olursunuz. Ayrıca Safari güncellemelerini hazır olur olmaz yüklediğinizden emin olun.