"Cimo" en Safaro permesas al vi liki informojn el via Guglo-konto

Apple kaj Google kreas komunan API kaj Eŭropo komencas adopti ĝin

Hakisto malkovris gravan sekurecan truon en safaro, la indiĝena retumilo de Apple, per kiu iuj el la privataj informoj de via Guglo-konto povas esti likitaj, inkluzive de lastatempa foliumhistorio.

Ĉi tiu uzanto jam havas atentigis la kompanion, do ni esperas, ke estonta ĝisdatigo de retumilo baldaŭ solvos la detektitan sekurecan problemon. Ni atentos ĝin.

Retpirato vokis FingerprintJS eldonis en sia blogo iom perturba malkovro. Sekureca truo en la retumilo Apple Safari, per kiu gravaj uzantinformoj povas esti "ŝtelitaj" el Mac.

Ĉi tiu fiasko konsistas el eraro en la efektivigo de IndeksitaDB de Safaro sur Mac kaj iOS. Tio signifas, ke retejo povas vidi datumbaznomojn de iu ajn domajno, ne nur sian propran. Datumbaznomoj povas esti uzataj por ĉerpi identigajn informojn de serĉtabelo. Ĉi tie vi povas vidi kiel funkcias ĉi tiu sekureca cimo.

La servoj de google ili konservas ekzemplon de IndexedDB por ĉiu el viaj kontoj, kun la datumbaza nomo responda al via Google uzantidentigilo. Do uzante la ekspluatadon priskribitan en la bloga afiŝo, malica retejo povus akiri vian uzantan identigilon de Guglo kaj poste uzi tiun identigilon por trovi aliajn personajn informojn, ĉar la identigilo estas uzata por fari API-petojn al Google-servoj. .

Ĝi sendas nazojn kiuj kun aliaj retumiloj, kiel ekz Kromio, ĉi tio ne okazas, kaj retejo povas vidi nur la datumbazojn kreitajn por la uzanto de Guglo de sia propra domajno, kaj ne tiun de iu alia. Espereble Apple riparas ĝin baldaŭ.

Apple ankoraŭ ne riparis ĝin.

FingerprintJS diras, ke ĝi jam informis Apple pri koncerna sekureca difekto en la pasinteco 28 por novembro. Estas strange, ke ĝis hodiaŭ ĝi ankoraŭ ne estis riparita per nova Safari-ĝisdatigo. Sed ni certas, ke baldaŭ ĝi faros.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

Estu la unua por komenti

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita.

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.