giovedì, Novembre 14, 2024

Apple si prepara a correggere l’errore di perdita di dati IndexedDB in Safari • Cronologia

Apple si sta preparando a correggere un bug in un ingegnere del browser WebKit che ha fatto trapelare dati da almeno 15 browser Safari da quando il problema è stato segnalato lo scorso novembre.

Aggiornamenti resi disponibili giovedì per gli sviluppatori Apple – iOS 15.3 RC e macOS 12.2 RC – Ha detto Correzione di bug, implementazione impropria di API IndexedDB colui il quale Consente ai siti Web di monitorare gli utenti Potrebbe conoscerli.

Il bug interessa il browser Safari 15 di Apple su macOS e Tutti i browser Su iOS e iPadOS 15 – Perché Apple richiede che tutti i browser su iOS siano basati sul proprio motore WebKit, piuttosto che su alternative come Chromium’s Blink o Mozilla’s Gecko.

Fingerprint.js, produttore di librerie di frodi e rilevamento di botnet, ha rivelato il problema della privacy di Apple il 28 novembre dello scorso anno e poi pubblicizzare Sulla questione del 14 gennaio perché Apple non ha risposto in tempo.

L’errore è che il WebKit di Apple ha implementato un database indicizzato in un modo che viola Stessa politica di origine (SOP), che costituisce la base della sicurezza del browser.

Quando un sito Web interagisce con un database IndexedDB, l’ingegnere di Fingerprint.js Martin Bajanik spiega in un file Post sul blog, il browser crea un nuovo database vuoto con lo stesso nome in finestre, schede e altre finestre attive che fanno parte della stessa sessione del browser.

Poiché queste finestre, schede e finestre possono essere associate a risorse diverse, come i siti Web, la disponibilità del nome del database per questi siti violerebbe la SOP.

READ  Scopri cosa amiamo di Gran Turismo 7

“Il fatto che i nomi dei database trapelino da origini diverse è una chiara violazione della privacy”, ha affermato Pajanic. “Consente a siti Web casuali di sapere quali siti Web l’utente sta visitando in diverse schede o finestre”.

Questo potrebbe essere già abbastanza grave, ma il problema della privacy è aggravato dal fatto che molti siti Web utilizzano identificatori univoci all’interno dei loro nomi IndexedDB. Google, ad esempio, aggiunge il suo ID utente Google ai nomi di database IndexedDB su siti Web come YouTube.com. Questo identificatore può essere utilizzato per interrogare Google API delle persone, ad esempio, per recuperare la foto dell’utente ed eventualmente altre informazioni, a seconda dei permessi.

Jake Archibald, sostenitore degli sviluppatori di Chrome, ha osservato che “questo è un grosso errore”, Via Twitter Quando il problema è apparso per la prima volta. “Su OSX, gli utenti Safari possono (temporaneamente) passare a un altro browser per evitare che i loro dati fuoriescano dalle risorse. Gli utenti iOS non hanno tale opzione, perché Apple blocca altri motori del browser”.

L’ostinato rifiuto di Apple di consentire altri motori di browser in iOS è stato un punto dolente per i produttori di browser concorrenti per anni. Ha fatto discutere la gente Safari è il nuovo browser Internet Explorer – Un browser che blocca tutti gli altri – e che le regole della piattaforma Apple non sono competitive, afferma Le autorità di regolamentazione britanniche, se non altri, hanno recentemente iniziato a prenderlo sul serio.

A un livello più elementare, il problema è che l’insistenza di Apple sul controllo non è accompagnata dalla reattività verso i propri clienti. Apple non deve eguagliare la cadenza di rilascio dei concorrenti più veloci perché non c’è concorrenza tra i browser iOS. È WebKit o niente se stai usando un iPhone o un iPad.

READ  Abilita questa impostazione per evitare che Chrome occupi troppa memoria

Quasi due mesi dopo la segnalazione del bug di IndexedDB, non esiste una correzione disponibile pubblicamente. La situazione era simile l’anno scorso, quando a maggio è apparso un errore di archiviazione locale. Sebbene gli ingegneri WebKit di Apple siano a loro merito, ha risposto immediatamenteQuesta correzione non era disponibile fino a luglio, quando Apple ha rilasciato Safari 14.1.2. Nel frattempo, i programmatori dell’azienda Per interrompere il database indicizzato – Un errore separato, ora risolto, impediva l’apertura dei database.

Almeno Apple sembra rispondere alle pressioni dell’opinione pubblica. Secondo Bajanik, gli ingegneri Apple hanno iniziato a lavorare per correggere il bug di IndexDB domenica 16 gennaio, due giorni dopo che Fingerprint.js ha rivelato pubblicamente il problema. ®

Ultime notizie
Notizie correlate