Во встроенном в устройства Apple браузере Safari обнаружена серьезная ошибка. Она дает доступ к личным данным из учетной записи Google и недавней истории. Коллеги из Онлайнер поделились мнением экспертов.
Обычно браузер создает базу данных при работе с одним сайтом так, чтобы она была доступна лишь этому сайту. Например, если вы в одной вкладке вошли в почту, а в соседней открыт мошеннический сайт, так называемое «правило ограничения домена» не позволит «плохой» вкладке узнать, чем занимается пользователь в соседней, пишет The Verge.
Как выяснили эксперты из FingerprintJS, в браузере Safari API IndexedDB игнорирует «правило ограничения домена». По этой причине все остальные вкладки и фреймы в рамках одной сессии могут видеть имена «чужих» созданных баз данных. Это в случае с сервисами Google означает, что сторонние лица могут записать ID пользователя Google (а также привязанных к нему сторонних сервисов) и идентифицировать его для доступа к открытой и публичной доступной информации.
Интересно, что FingerprintJS сообщила о баге 28 ноября, однако с тех пор мер предпринято не было. Что приоритетнее: угроза персональным данным либо какие-то другие процессы, дающие карт-бланш на бездействие в этом вопросе?
Источник: https://tech.onliner.by/2022/01/17/brauzer-safari-mozhet-slivat-polzovatelskie-dannye-iz-za-baga