龙空技术网

Safari最新版本被曝高危漏洞,你的浏览记录一览无遗

易思训教育 107

前言:

眼前各位老铁们对“js获取浏览记录的内容”大体比较讲究,我们都想要了解一些“js获取浏览记录的内容”的相关内容。那么小编在网上网罗了一些关于“js获取浏览记录的内容””的相关文章,希望各位老铁们能喜欢,朋友们快快来学习一下吧!

相比其他设备的自带浏览器,苹果的Safari一直都给人安全、隐私保护力度强的印象,但是最近,浏览器指纹识别服务商FingerprintJS发布了一篇博客,内容却是针对Safari的安全性的。

他们发现,Safari 15在实现IndexedDB API时存在一个漏洞,该API允许任何网站跟踪用户的浏览记录,甚至泄露用户Google帐户的部分身份信息。

No.1

首先为大家解释一下IndexedDB API是什么意思。

IndexedDB(索引数据库)是一个用在浏览器客户端存储的API(应用程序编程接口),可以保存大量用户数据,目前被普遍使用在所有主要的浏览器上。

像大多数浏览器技术一样,IndexedDB遵循同源政策。这是一种基本的安全机制,它限制了从一个源头加载的文档或脚本与其他源头的资源交互。被索引的数据库与特定的源相关联,也就是说只有生成数据的网站才能访问它。

例如,如果在一个标签页中打开电子邮件帐户,然后在另一个标签页中打开恶意网页,同源政策会阻止恶意页面查看和干预电子邮件。

Safari 15的这个漏洞,正是IndexedDB API违反了同源策略造成的。也就是说如果用户同时打开了A网站和B网站,其中任意一个网站都有可能看到其他网站的信息,用户的身份信息、浏览记录等都会一览无遗。

而且隐患也不仅仅在于此,因为苹果要求iPhone和ipad上的浏览器都使用webkit,所以甚至还可能会危及到第三方的浏览器。

目前,超过30个网站直接在其主页上与IndexedDB交互,无需任何额外的用户交互或认证,包括Instagram、Netflix、Twitter、Xbox等,这些网站都有可能受到影响。

No.2

这种浏览器本身的漏洞,作为用户是很难防范的,只能等待苹果WebKit开发团队在最新版本中修复这个漏洞,然后立即更新浏览器或者操作系统。

截至目前,苹果官方似乎还没有对这件事作出回应。虽然我们知道技术团队修复漏洞需要一定的时间,但是还是希望能够尽快更新版本,保障用户的信息安全。

其实在大众印象中,非常安全的一些浏览器,都可能会存在安全漏洞,Safari也不是第一次被发现安全隐患。

2018年,就有研究人员发现Microsoft Edge和苹果Safari都出现了同一漏洞。

这个漏洞就是网址列欺骗(Address Bar Spoofing),原因是浏览器允许JavaScript在网页完全加载之前更新网址列的内容。黑客利用setInterval函式造成的时间延迟,加载假网站的内容,导致用户可能会连接到恶意网站。

同一年,苹果iOS/OS X还曾曝出一个漏洞,恶意应用借助漏洞可以绕过沙箱及其他安全保护措施进入App Store,然后从其他应用的钥链中获取密码,窃取其他应用的隐私数据,劫持网络端口,并假扮不同的应用拦截某些对话。

No.3

世界top级别的企业产品还会发现这么多漏洞,难道是苹果的测试工程师工资没到位吗?

软件测试中常会被问到的一个问题是,软件测试到底能不能找出所有的漏洞。

答案是不能的。

bug如同沙里淘金。首先你会发现大的金块,后来只能找到金粒,再后来,你只能找到金沙。而且,越到后面,找到一个bug付出的代价越高。但终究无法穷尽。

造成这一点的原因是,测试是对用户使用过程的模拟。既然是模拟,就无法穷尽所有场景和环境,也无法穷尽用户的使用方式和习惯。

也正因为如此,越是成熟的软件产品,就越要防备来自各种渠道、各种形式的攻击。

现在对于企业来说,招聘到合适的安全测试人才相当不易,并非IT企业的招聘要求苛刻,实际情况是大量求职人员受专业技能限制而无法满足企业需求。

安全测试工程师工作的重点在于对企业信息化建设和维护,其中包含技术及管理等方面的工作,工作相对稳定,随着项目经验的不断增长和对行业背景的深入了解,掌握企业核心网络架构、安全技术,具有不可替代的竞争优势。

标签: #js获取浏览记录的内容