Na początku tygodnia spadła na nas jak grom z jasnego nieba informacja o poważnej luce w przeglądarce Safari. Dzięki temu błędowi, strony internetowe mogą dotrzeć do informacji o odwiedzających ją użytkownikach. Informacje te oczywiście nie powinny być dostępne.
Jak wyjaśnia FingerprintJS, firma, która odkryła błąd w Safari 15, luka to wynik implementacji przez Apple interfejsu IndexedDB API w Safari. IndexedDB przechowuje dane podczas przeglądania. Odpowiada „za zgodność z polityką mówiącą o tym, że dane i dokumenty z jednej witryny nie będą widoczne dla innej”.
Safari 15 łamie te zasady. Gdy witryna odwiedzana w Safari wchodzi w interakcję z bazą danych, „nowa baza danych o tej samej nazwie jest tworzona we wszystkich innych aktywnych oknach, kartach i oknach w tej samej sesji przeglądarki na innych urządzeniach”. Nazwy baz danych tworzone przez Safari wyciekają teraz z różnych źródeł. Odwiedzane strony internetowe mogą zobaczyć nazwy innych utworzonych w bazie rekordów.
To nie wszystko. Witryny, które korzystają z konta Google, tworzą bazy danych zawierające uwierzytelniony identyfikator użytkownika Google. Złośliwe strony internetowe mogą nie tylko zobaczyć taki identyfikator, ale także użyć go do połączenia wielu kont. Problem jest więc poważny. Aby unaocznić ten błąd obejrzyjcie krótki film, wyjaśniający działania tego błędu.
Niestety w chwili obecnej nie możemy nic zrobić oprócz chwilowego porzucenia Safari, do momentu naprawienia błędu. Apple już pracuje nad załataniem tego błędu i miejmy nadzieję, że poprawka wyjdzie bardzo szybko.
Mam pytanie do powyższego: czy włączenie Trybu Prywatnego w Safari nie zabezpiecza przed tym błędem wycieku danych z bazy?
Zgodnie z opisem Tryb Prywatny nie zapisuje żadnych cookies, historii, danych witryn, danych formularzy itp.
Czyli po zamknięciu strony w trybie prywatnym i otworzeniu nowej/innej też w trybie prywatnym baza danych powinna być pusta.
To raczej pytanie do FingerprintJS, lub niebezpiecznika albo zaufanejtrzeciejstrony. „Redaktorzy technologiczni” wiedzą tylko tyle co przetłumaczą z angielskich witryn – nie mają swoich pentesterów ani wystarczającej wiedzy o zabezpieczeniach.