목요일, 12월 26, 2024

Apple, Safari에서 IndexedDB 데이터 유출 오류 수정 준비 • 기록

날짜:

Apple은 지난 11월 문제가 보고된 이후 최소 15개의 Safari 브라우저에서 데이터를 유출한 WebKit 브라우저 엔지니어의 버그를 수정할 준비를 하고 있습니다.

목요일 Apple 개발자에게 제공되는 업데이트 – iOS 15.3 RC 및 macOS 12.2 RC – 그것은 말했다 버그 수정, 부적절한 구현 IndexedDB API 누구 – 어느 웹사이트에서 사용자를 추적할 수 있습니다. 그는 그들을 알고 있을지도 모릅니다.

버그는 macOS에서 Apple의 Safari 15 브라우저에 영향을 미치며 모든 브라우저 iOS 및 iPadOS 15에서 – Apple은 iOS의 모든 브라우저가 Chromium의 Blink 또는 Mozilla의 Gecko와 같은 대안이 아닌 자체 WebKit 엔진을 기반으로 할 것을 요구하기 때문입니다.

사기 라이브러리 및 봇넷 탐지 업체인 Fingerprint.js는 작년 11월 28일에 Apple의 개인 정보 문제를 공개한 후 홍보하다 Apple이 제시간에 응답하지 않았기 때문에 1월 14일에 발생한 문제에 대해.

오류는 Apple의 WebKit이 다음을 위반하는 방식으로 인덱싱된 데이터베이스를 구현했다는 것입니다. 동일 출처 정책 (SOP), 브라우저 보안의 기초를 형성합니다.

웹 사이트가 IndexedDB 데이터베이스와 상호 작용할 때 Fingerprint.js 엔지니어 Martin Bajanik은 파일에서 설명합니다. 블로그 포스트, 브라우저는 동일한 브라우저 세션의 일부인 창, 탭 및 기타 활성 창에 동일한 이름의 빈 데이터베이스를 새로 만듭니다.

이러한 창, 탭 및 창은 웹 사이트와 같은 다른 자산과 연관될 수 있기 때문에 이러한 사이트에 사용할 수 있는 데이터베이스 이름이 있으면 SOP를 위반하게 됩니다.

Pajanic은 “데이터베이스 이름이 여러 출처에서 유출되고 있다는 사실은 명백한 개인 정보 침해입니다.”라고 말했습니다. “사용자가 다른 탭이나 창에서 어떤 웹사이트를 방문하고 있는지 임의의 웹사이트가 알 수 있습니다.”

이것은 충분히 나쁠 수 있지만 많은 웹 사이트가 IndexedDB 이름 내에서 고유 식별자를 사용한다는 사실로 인해 개인 정보 보호 문제가 복잡해집니다. 예를 들어 Google은 YouTube.com과 같은 웹사이트의 IndexedDB 데이터베이스 이름에 Google 사용자 ID를 추가합니다. 이 식별자는 Google을 쿼리하는 데 사용할 수 있습니다. 피플 API예를 들어, 권한에 따라 사용자의 사진 및 기타 정보를 가져올 수 있습니다.

Chrome 개발자 옹호자인 Jake Archibald는 “이것은 큰 실수”라고 말했습니다. 트위터를 통해 문제가 처음 나타났을 때. “OSX에서 Safari 사용자는 자산을 통해 데이터가 누출되는 것을 방지하기 위해 (일시적으로) 다른 브라우저로 전환할 수 있습니다. Apple이 다른 브라우저 엔진을 차단하기 때문에 iOS 사용자는 그러한 옵션이 없습니다.”

iOS에서 다른 브라우저 엔진을 허용하지 않는 Apple의 완고한 거부는 수년 동안 경쟁 브라우저 제조업체에게 골칫거리였습니다. 사람들로 하여금 이렇게 주장하게 만들었다. Safari는 새로운 Internet Explorer 브라우저입니다. – 다른 모든 사람을 차단하는 브라우저 – Apple 플랫폼의 규칙은 비경쟁적이라고 주장 영국 규제 기관은 최근에 이를 심각하게 받아들이기 시작했습니다..

보다 기본적인 수준에서 문제는 통제에 대한 Apple의 주장이 고객에 대한 응답과 일치하지 않는다는 것입니다. iOS 브라우저 간에 경쟁이 없기 때문에 Apple은 더 빠르게 움직이는 경쟁업체의 출시 주기를 맞출 필요가 없습니다. iPhone 또는 iPad를 사용하는 경우 WebKit 또는 아무것도 아닙니다.

IndexedDB 버그가 보고된 지 거의 두 달이 지났지만 공개적으로 사용 가능한 수정 사항은 없습니다. 지난해 5월 로컬 스토리지 오류가 발생했을 때도 상황은 비슷했다. Apple의 WebKit 엔지니어는 믿을만하지만 즉시 응답이 수정 사항은 Apple이 Safari 14.1.2를 출시한 7월까지 사용할 수 없었습니다. 한편, 회사의 프로그래머는 인덱싱된 데이터베이스를 중단하려면 – 현재 해결된 별도의 오류로 인해 데이터베이스가 열리지 않았습니다.

적어도 Apple은 대중의 압력에 대응하는 것으로 보입니다. Bajanik에 따르면 Apple 엔지니어는 Fingerprint.js가 문제를 공개적으로 공개한 지 이틀 후인 1월 16일 일요일에 IndexDB 버그 수정 작업을 시작했습니다. ®

관련 기사

Battletoads/Double Dragon이 Nintendo의 Switch Online 라이브러리에 진출하고 있습니다.

NES 및 SNES 콘솔 시대에 자랐다면 이 게임이 이후 최고의 비디오 게임 중 하나라는 사실을 알고 기뻐할 것입니다....

White Fragility 저자 Robin DiAngelo에 대한 표절 고소가 기각되었습니다. 서적

지난달 'White Fragility'를 비롯해 인종차별에 관한 여러 책을 쓴 로빈 디안젤로(Robin DiAngelo)를 대상으로 제기된 표절 고소장이 기각됐다.DiAngelo의 2004년...

2024 한국영화제, 우정을 다룬 영화 5편

크리스토퍼 퍼넬(Christopher Purnell) - Philstar.com2024년 9월 18일 | 오후 7시 14분 마닐라, 필리핀 - 올해 한국영화제는 한국과 필리핀...

SpaceX는 희귀하고 위험한 착륙으로 Falcon 9 로켓을 벼랑 끝으로 밀어 넣습니다.

이것은 투자 조언이 아닙니다. 저자는 언급된 주식에 대해 어떠한 입장도 갖고 있지 않습니다. Wccftech.com에는 공개 및 윤리 정책이...