Tradiţional s-a impamantenit percepţia că Safari e unul dintre cele mai sigure browsere de pe piaţă şi că stă foarte bine şi la Privacy. Acum un bug grav îi ştirbeşte din imagine, după ce a fost descoperită o breşă care le permite site-urilor să îţi urmărească activitatea în timp real. Avem detalii mai jos.
Cauza acestei breşe este un bug din implementarea lui WebKit pentru un API JavaScript, cunoscut drept IndexedDB. El poate dezvălui cele mai recent istoric de browsing al utilizatorului, ba chiar şi identitatea sa, conform unei postări făcute de analiştii de browsere web de la FingerprintJS. Practic acest bug îi permite oricărui website care foloseşte IndexedDB să acceseze numele din baza de date IndexedDB generate de alte site-uri în timpul unei sesiuni de browsing.
Bug-ul i-ar putea permite unui site să urmărească alte site-uri vizitate de utilizator în diferite tab-uri sau ferestre. Numele din baza de date sunt deseori unice şi specifice pentru fiecare site. Comportamentul ideal, fără bug ar fi ca fiecare site să îşi poată accesa doar propriul său IndexedDB în baza de date.
Demo al bug-ului aici:
Cine este afectat?
Bug-ul afectează versiunilor noi de browser care folosesc engine-ul Apple open source de browser WebKit, inclusiv Safari 15 pentru Mac şi Safari de pe telefoanele cu iOS 15 şi tabletele cu iPadOS 15. Afectează şi Chrome pe iOS 15 şi iPadOS 15. E afectat şi browsing-ul Private pe Safari şi Incognito pe Chrome. Bug-ul a fost raportat pe 28 noiembrie şi încă nu are fix.
