باگ سافاری به سایت‌ها اجازه شناسایی تاریخچه مرور می دهد

یک اشکال در سافاری که توسط شرکت امنیتی FingerprintJS (از طریق 9to5Mac) پیدا شده، می‌تواند به هر وب‌سایتی اجازه دهد سابقه مرور شما و حتی برخی از اطلاعات مربوط به حساب کاربری وارد شده گوگل را ردیابی کند.

در پیاده‌سازی سافاری IndexedDB در مک و iOS وجود دارد و به وب‌سایت‌ها اجازه می‌دهد نام پایگاه‌های داده را برای هر دامنه و نه فقط دامنه خود ببینند. IndexedDB یک API جاوا اسکریپت است که طبق این گزارش “مقدار قابل توجهی داده” را در خود جای داده است. سپس می توان از این نام های پایگاه داده برای استخراج اطلاعات شناسایی از یک جدول جستجو استفاده کرد. به عنوان مثال، سرویس‌های گوگل، یک نمونه IndexedDB را برای هر یک از حساب‌های وارد شده شما ذخیره می‌کنند. سایت‌های مخرب می‌توانند به این مورد دسترسی داشته باشند تا اطلاعات دیگری درباره شما، مانند تصویر پروفایل حساب گوگل شما، کشف کنند.

در حالی که نسخه ی نمایشی اثبات مفهوم توسط FingerprintJS تنها فهرستی از حدود 30 سایت را نگه می دارد، احتمال استفاده از این اکسپلویت در مجموعه ای بسیار بزرگتر وجود دارد. تقریباً هر سایتی که از IndexedDB JavaScript API استفاده می کند می تواند در برابر چنین خراش داده ای آسیب پذیر باشد. متأسفانه، برای رفع باگ سافاری به جز مسدود کردن کامل جاوا اسکریپت در سایت‌های غیرقابل اعتماد، کار زیادی نمی‌توان انجام داد، زیرا انجام این کار احتمالاً باعث شکستن مطالب در صفحات وب خواهد شد.

بدیهی است که تنها راه حل مناسب می تواند توسط اپل به تنهایی اعمال شود. مرورگرهایی مانند کروم فقط به وب‌سایت‌ها اجازه می‌دهند به پایگاه‌های اطلاعاتی موجود در IndexedDB که با همان نام دامنه خودشان ایجاد شده است دسترسی داشته باشند، و وقت آن است که اپل در سافاری نیز به همان سمت حرکت کند.