注意！未修补的新Apple Safari浏览器错误允许跨站点用户跟踪

未修补的新Apple Safari浏览器错误允许跨站点用户跟踪

研究人员称：Apple Safari 15的IndexedDB API实现中引入的软件错误可能被恶意网站滥用，以跟踪用户在网络浏览器中的在线活动，甚至泄露他们的身份。

IndexedDB Leaks漏洞

该漏洞被称为IndexedDB Leaks，由欺诈保护软件公司FingerprintJS披露，该公司于2021年11月28日向iPhone制造商报告了该问题。

IndexedDB是Web浏览器提供的低级JavaScript应用程序编程接口(API)，用于管理结构化数据对象（如文件和blob）的NoSQL数据库。

“与大多数Web存储解决方案一样，IndexedDB遵循同源策略，”Mozilla在其API文档中指出。“因此，虽然您可以访问域内存储的数据，但您无法访问不同域中的数据。”

同源安全机制

同源是一种基本的安全机制，可确保从不同来源检索的资源（即方案（协议）、主机（域）和URL的端口号的组合）彼此隔离。这实际上意味着“http[:]//example[.]com/”和“https[:]//example[.]com/”不是同一来源，因为它们使用不同的方案。

通过限制一个来源加载的脚本如何与另一个来源的资源进行交互，其想法是隔离潜在的恶意脚本并通过防止流氓网站运行任意JavaScript代码来从另一个域读取数据来减少潜在的攻击向量，例如，电子邮件服务。