Safari brauzerindəki boşluq istifadəçi məlumatlarının sızdırılmasına səbəb ola bilər (VİDEO)
Təhlükəsizlik
17.01.2022
Farid Pardashunas
Apple şirkətinin Safari brauzerində aşkar edilmiş boşluq brauzer tarixçəsi ilə Google istifadəçi hesabını əhatə edən bəzi konfidensial məlumatların sızdırılmasına səbəb ola bilər. FingerprintJS şirkətinin mütəxəssislərinin verdikləri məlumata əsasən Safari brauzerindəki boşluq IndexedDB adlı mexanizmin iş prinsipi ilə əlaqəlidir. Sözügedən mexanizm veb saytlara məlumatlar bazasını istifadəçi cihazında saxlamağa imkan verir və bir mənbədən olan məlumatların digər mənbədən olan məlumatlar ilə qarşılıqlı əlaqədə olmalarının qarşısını alır. Başqa sözlə desək, bu mexanizm saytlara yalnız özlərinin yaratdıqlrı məlumatlarla qarşılıqlı əlaqədə olmağa imkan verir.
Məsələn əgər istifadəçi brauzerin bir qovluğunda elektron poçt ünvanını, digər qovluqda isə hansısa zərərli səhifəni açırsa, IndexedDB mexanizmi zərərli səhifənin olduğu qovluğun elektron poçt ilə əlaqəli olan qovluqdakı məlumatları əldə etməyə imkan vermir. FingerprintJS şirtkətinin mütəxəssisləri aşkar ediblər ki, Safari brauzerindəki IndexedDB mexanizmi domen məhdudiyyəti qaydasını pozur. Hansısa sayt aktiv sessiya çərçivəsində bütün açıq qovluqlar, pəncərələr və framelər üzrə istifadəçi məlumatları ilə qarşılıqlı əlaqədə olan zaman eyni ada sahib boş məlumat bazalarının avtomatik yaradılma prosesi reallaşır. Bu o deməkdir ki, kənar saytlar digər veb resursları əhatə edən məlumat bazalarının adlarını əldə edə bilərlər. Bu cür məlumat bazalarında isə istifadəçinin konfidensial məlumatları ola bilər.
Məsələn Google istifadəçi hesabından istifadə edən Youtube və Google Calendar kimi saytlar Google istifadəçisinin unikal identifikatoruna sahib məlumat bazalarını yaradırlar. Həmin identifikator vasitəsilə Google istifadəçinin açıq şəkildə mövcud olan məlumatlarını əldə edə bilir. Buna misal olaraq istifadəçi hesabının fotosunu gətirmək olar. Safari brauzerində olan boşluq isə istfadəçi hesabının fotosu kimi məlumatların digər saytlar tərəfindən əldə edilməsinə gətirib çıxarda bilər. Safari istifadəçiləri bu problemi fərdi şəkildə aradan qaldıra bilməzlər. FingerprintJS şirkəti bu boşluq barədə məlumatı Apple şirkətinə hələ keçən ilin noyabr ayının sonunda bildirmişdi. Lakin Safari-nin bu boşluğunu aradan qaldıracaq yenilənmə hələ də təqdim edilməyib.
Linki kopyala
Bənzər xəbərlər
Oxşar xəbərlər
Həftənin xəbərləri
Huawei Pura 70 və Pura 70 Pro təqdim olunublar - QİYMƏTİ
Telegram-ın yaradıcısı Pavel Durov geniş müsahibə verib (VİDEO)