Apple은 지난 11월 문제가 보고된 이후 최소 15개의 Safari 브라우저에서 데이터를 유출한 WebKit 브라우저 엔지니어의 버그를 수정할 준비를 하고 있습니다.
목요일 Apple 개발자에게 제공되는 업데이트 – iOS 15.3 RC 및 macOS 12.2 RC – 그것은 말했다 버그 수정, 부적절한 구현 IndexedDB API 누구 – 어느 웹사이트에서 사용자를 추적할 수 있습니다. 그는 그들을 알고 있을지도 모릅니다.
버그는 macOS에서 Apple의 Safari 15 브라우저에 영향을 미치며 모든 브라우저 iOS 및 iPadOS 15에서 – Apple은 iOS의 모든 브라우저가 Chromium의 Blink 또는 Mozilla의 Gecko와 같은 대안이 아닌 자체 WebKit 엔진을 기반으로 할 것을 요구하기 때문입니다.
사기 라이브러리 및 봇넷 탐지 업체인 Fingerprint.js는 작년 11월 28일에 Apple의 개인 정보 문제를 공개한 후 홍보하다 Apple이 제시간에 응답하지 않았기 때문에 1월 14일에 발생한 문제에 대해.
오류는 Apple의 WebKit이 다음을 위반하는 방식으로 인덱싱된 데이터베이스를 구현했다는 것입니다. 동일 출처 정책 (SOP), 브라우저 보안의 기초를 형성합니다.
웹 사이트가 IndexedDB 데이터베이스와 상호 작용할 때 Fingerprint.js 엔지니어 Martin Bajanik은 파일에서 설명합니다. 블로그 포스트, 브라우저는 동일한 브라우저 세션의 일부인 창, 탭 및 기타 활성 창에 동일한 이름의 빈 데이터베이스를 새로 만듭니다.
이러한 창, 탭 및 창은 웹 사이트와 같은 다른 자산과 연관될 수 있기 때문에 이러한 사이트에 사용할 수 있는 데이터베이스 이름이 있으면 SOP를 위반하게 됩니다.
Pajanic은 “데이터베이스 이름이 여러 출처에서 유출되고 있다는 사실은 명백한 개인 정보 침해입니다.”라고 말했습니다. “사용자가 다른 탭이나 창에서 어떤 웹사이트를 방문하고 있는지 임의의 웹사이트가 알 수 있습니다.”
이것은 충분히 나쁠 수 있지만 많은 웹 사이트가 IndexedDB 이름 내에서 고유 식별자를 사용한다는 사실로 인해 개인 정보 보호 문제가 복잡해집니다. 예를 들어 Google은 YouTube.com과 같은 웹사이트의 IndexedDB 데이터베이스 이름에 Google 사용자 ID를 추가합니다. 이 식별자는 Google을 쿼리하는 데 사용할 수 있습니다. 피플 API예를 들어, 권한에 따라 사용자의 사진 및 기타 정보를 가져올 수 있습니다.
Chrome 개발자 옹호자인 Jake Archibald는 “이것은 큰 실수”라고 말했습니다. 트위터를 통해 문제가 처음 나타났을 때. “OSX에서 Safari 사용자는 자산을 통해 데이터가 누출되는 것을 방지하기 위해 (일시적으로) 다른 브라우저로 전환할 수 있습니다. Apple이 다른 브라우저 엔진을 차단하기 때문에 iOS 사용자는 그러한 옵션이 없습니다.”
iOS에서 다른 브라우저 엔진을 허용하지 않는 Apple의 완고한 거부는 수년 동안 경쟁 브라우저 제조업체에게 골칫거리였습니다. 사람들로 하여금 이렇게 주장하게 만들었다. Safari는 새로운 Internet Explorer 브라우저입니다. – 다른 모든 사람을 차단하는 브라우저 – Apple 플랫폼의 규칙은 비경쟁적이라고 주장 영국 규제 기관은 최근에 이를 심각하게 받아들이기 시작했습니다..
보다 기본적인 수준에서 문제는 통제에 대한 Apple의 주장이 고객에 대한 응답과 일치하지 않는다는 것입니다. iOS 브라우저 간에 경쟁이 없기 때문에 Apple은 더 빠르게 움직이는 경쟁업체의 출시 주기를 맞출 필요가 없습니다. iPhone 또는 iPad를 사용하는 경우 WebKit 또는 아무것도 아닙니다.
IndexedDB 버그가 보고된 지 거의 두 달이 지났지만 공개적으로 사용 가능한 수정 사항은 없습니다. 지난해 5월 로컬 스토리지 오류가 발생했을 때도 상황은 비슷했다. Apple의 WebKit 엔지니어는 믿을만하지만 즉시 응답이 수정 사항은 Apple이 Safari 14.1.2를 출시한 7월까지 사용할 수 없었습니다. 한편, 회사의 프로그래머는 인덱싱된 데이터베이스를 중단하려면 – 현재 해결된 별도의 오류로 인해 데이터베이스가 열리지 않았습니다.
적어도 Apple은 대중의 압력에 대응하는 것으로 보입니다. Bajanik에 따르면 Apple 엔지니어는 Fingerprint.js가 문제를 공개적으로 공개한 지 이틀 후인 1월 16일 일요일에 IndexDB 버그 수정 작업을 시작했습니다. ®
"트위터를 통해 다양한 주제에 대한 생각을 나누는 아 동율은 정신적으로 깊이 있습니다. 그는 맥주를 사랑하지만, 때로는 그의 무관심함이 돋보입니다. 그러나 그의 음악에 대한 열정은 누구보다도 진실합니다."