خطأ في متصفح Safari 15 يسمح لأي موقع ويب بتتبع نشاط المستخدم على الإنترنت وربما الكشف عن هويته ، وفقًا للباحثين في FingerprintJS.
قالت الشركة في منشور لها: "لسوء الحظ ، لا يوجد الكثير الذي يمكن لمستخدمي Safari و iPadOS و iOS القيام به لحماية أنفسهم دون اتخاذ تدابير جذرية. قد يكون أحد الخيارات هو حظر جميع JavaScript افتراضيًا والسماح بها فقط على المواقع الموثوق بها. هذا يجعل تصفح الويب الحديث غير مريح وربما لا يكون حلاً جيدًا للجميع.
علاوة على ذلك ، فإن نقاط الضعف مثل البرمجة النصية عبر المواقع تجعل من الممكن استهدافها عبر المواقع الموثوقة أيضًا ، على الرغم من أن الخطر أقل بكثير. بديل آخر لمستخدمي Safari على أجهزة Mac هو التبديل مؤقتًا إلى متصفح مختلف.
ومع ذلك ، لا يعد هذا خيارًا في iOS و iPadOS لأن جميع المتصفحات تتأثر ، لذلك يتعين على المستخدمين على هذه الأنظمة الأساسية الانتظار حتى تصدر Apple إصلاحًا.
يتأثر الوضع الخاص في Safari 15 أيضًا بالتسرب ، كما يقول التقرير. أثناء التصفح في نوافذ Safari الخاصة مقيدة بعلامة تبويب واحدة ، مما يقلل من حجم المعلومات المتاحة عبر التسريب ، إذا قام المستخدم بزيارة عدة مواقع ويب مختلفة ضمن علامة التبويب نفسها ، فإن جميع قواعد البيانات التي تتفاعل معها هذه المواقع يتم تسريبها إلى جميع مواقع الويب التي تمت زيارتها لاحقًا .
تكمن المشكلة في تنفيذ IndexedDB API التي تتيح لأي موقع ويب تتبع نشاط المستخدم على الإنترنت. يشير التقرير إلى أن IndexedDB عبارة عن واجهة برمجة تطبيقات للمتصفح للتخزين من جانب العميل مصممة للاحتفاظ بكميات كبيرة من البيانات. إنه مدعوم في جميع المتصفحات الرئيسية وشائع الاستخدام. نظرًا لأن IndexedDB هي واجهة برمجة تطبيقات ذات مستوى منخفض ، يختار العديد من المطورين استخدام أغلفة تجرد معظم الجوانب الفنية وتوفر واجهة برمجة تطبيقات أسهل في الاستخدام وأكثر ملاءمة للمطورين.
يتبع IndexedDB سياسة نفس الأصل ، وهي آلية أمان أساسية تقيد كيفية تفاعل المستندات أو البرامج النصية التي تم تحميلها من أصل واحد مع موارد من أصول أخرى. يتم تحديد الأصل من خلال النظام (البروتوكول) ، واسم المضيف (المجال) ، ومنفذ عنوان URL المستخدم للوصول إليه. يقول التقرير إن قواعد البيانات المفهرسة مرتبطة بأصل معين. يجب ألا تتمتع المستندات أو البرامج النصية المرتبطة بأصول مختلفة مطلقًا بإمكانية التفاعل مع قواعد البيانات المرتبطة بأصول أخرى.
ومع ذلك ، يقول الباحثون ، في Safari 15 على macOS ، وفي جميع المتصفحات على iOS و iPadOS 15 ، فإن واجهة برمجة تطبيقات IndexedDB تنتهك سياسة المصدر نفسه. في كل مرة يتفاعل موقع ويب مع قاعدة بيانات ، يتم إنشاء قاعدة بيانات جديدة (فارغة) تحمل الاسم نفسه في جميع الإطارات وعلامات التبويب والنوافذ النشطة الأخرى في نفس جلسة المتصفح. عادةً ما يشارك Windows وعلامات التبويب نفس الجلسة ، إلا إذا قمت بالتبديل إلى ملف تعريف مختلف في Chrome ، على سبيل المثال ، أو فتح نافذة خاصة.
يقول الباحثون: "حقيقة أن أسماء قواعد البيانات تتسرب عبر أصول مختلفة هي انتهاك واضح للخصوصية". "إنه يتيح لمواقع الويب العشوائية معرفة مواقع الويب التي يزورها المستخدم في علامات تبويب أو نوافذ مختلفة. هذا ممكن لأن أسماء قواعد البيانات عادةً ما تكون فريدة ومحددة بموقع الويب. علاوة على ذلك ، لاحظنا أنه في بعض الحالات ، تستخدم مواقع الويب معرفات فريدة خاصة بالمستخدم في أسماء قواعد البيانات. هذا يعني أنه يمكن تعريف المستخدمين المصادق عليهم بشكل فريد ودقيق.
"هذا يعني أنه يمكن تعريف المستخدمين المصادق عليهم بشكل فريد ودقيق. من الأمثلة الشائعة YouTube أو تقويم Google أو Google Keep. تنشئ جميع مواقع الويب هذه قواعد بيانات تتضمن معرّف مستخدم Google المصادق عليه وفي حالة تسجيل المستخدم الدخول إلى حسابات متعددة ، يتم إنشاء قواعد بيانات لجميع هذه الحسابات ".
لَا تقرأ و ترحل، شاركنا برأيك. فتعليقاتكم و لو بكلمة “شكرا”
هِيَ بمثابة تشجيع لنا للاستمرار
كَمَا يمكنكم متابعتنا للتوصلو بالجديد