过去4个月，苹果(Apple)的iOS和iPadOS设备以及Safari浏览器违反了互联网最神圣的安全政策之一。这种违规行为是由一个漏洞造成的，该漏洞会实时泄露用户身份和浏览活动。同源策略是一种基本的安全机制，它禁止从一个源加载的文档、脚本或其他内容(即给定网页或应用程序的协议、域名和端口)与来自其他源的资源进行交互。如果没有这个策略，恶意站点——比如badguy. exam.com——就可以在

同城打牌

过去4个月，苹果(Apple)的iOS和iPadOS设备以及Safari浏览器违反了互联网最神圣的安全政策之一。这种违规行为是由一个漏洞造成的，该漏洞会实时泄露用户身份和浏览活动。

同源策略是一种基本的安全机制，它禁止从一个源加载的文档、脚本或其他内容(即给定网页或科技应用程序的协议、域名和端口)与来自其他源的资源进行交互。如果没有这个策略，恶意站点——比如badguy. exam.com——就可以在谷歌或其他可信站点在不同的浏览器窗口或标签页中打开时访问它们的登录凭证。

明显的侵犯隐私

上周晚些时候发布的一项研究发现，自9月份Safari 15、iOS和iPadOS 15发布以来，这一政策已被彻底打破。正如一个演示站点以图形方式显示的那样，对于一个站点来说，了解在其他选项卡或窗口中打开的站点的域以及与其他站点相关联的用户id和其他标识信息是很简单的。

安全公司FingerprintJS的研究员马丁·巴雅尼克写道:“数据库名称从不同来源泄露的事实明显侵犯了隐私。”他继续说:

运行Safari 15的mac电脑以及任何运行iOS或iPadOS 15的浏览器都能受到攻击。如演示所示，safarileaks.com能够检测到在其他标签或窗口中打开的超过20个网站的存在，其中包财神双扣括谷歌日历、YouTube、Twitter和彭博社。通过更多的工作，真实世界的攻击者可能会找到成百上千个可以被检测到的网站或网页。

当用户登录到这些站点之一时，该漏洞可能被滥用，以揭示访问情况，并在许多情况下实时识别信息。例如，当登录到在其他地方打开的谷歌帐户时，演示站点可以获得谷歌用来标识每个帐户的内部标识符。这些标识符通常可用于识别帐户持有人。

提高意识

体育泄漏的原因是Webkit浏览器引擎实现IndexedDB的方式，IndexedDB是所有主流浏览器都支持的编程接口。它拥有大量的数据，并在访问新站点时通过创建数据库来工作。在后台运行的选项卡或窗口可以不断地查询IndexedDB API中可用的数据库。这允许一个网站实时了解用户正在访问的其他网站。

网站也可以在iframe或弹出窗口中打开任何网站，以触发特定网站基于indexeddb的泄漏。通过在其HTML代码中嵌入iframe或弹出窗口，一个站点可以打开另一个站点，从而导致该站点基于indexeddb的泄漏。

Bajanik写道:“每当一个网站与一个数据库交互时，同一个浏览器会话中所有其他活动框架、标签和窗口中都会创建一个新的(空的)数据库，数据库名称相同。”“Windows和标签通常共享相同的会话，除非你切换到不同的配置文件，例如在Chrome中，或打开一个私人窗口。”

巴雅尼克说，他在11月下旬就通知了苹果这个漏洞，截至发布时间，Safari和苹果的移动操作系统都还没有修复这个漏洞。苹果代表没有回复询问苹果是否或何时会发布补丁的邮件。截至周一，苹果工程师已经合并了潜在的修复方案，并将巴雅尼克的报告标记为已解决。不过，最终用户在Safari 15、iOS和iPadOS 15中加入Webkit修复之前不会受到保99热点资讯护。

目前，人们在使用桌面版Safari浏览器或任何运行在iOS或ipado上的浏览器时应该保持谨慎。这对iPhone或iPad用户并不是特别有帮助，而且在许多情况下，浏览活动被泄露几乎或根本没有后果。然而，在其他情况下，访问的特定站点和访问顺序可以说明很多问题。

巴雅尼克写道:“一旦苹果解决了这个问题，唯一真正的保护措施就是更新你的浏览器或操作系统。”“与此同时，我们希望这篇文章能提高人们对这个问题的认识。”