O vulnerabilitate gravă ce poate să-ți pună în pericol datele personale, dacă ești utilizator de browserul Safari

safari-vulnerability-apple-megahost-ro De curând a fost descoperită o vulnerabilitate periculoasă în browserul Apple Safari. Mai exact, este vorba despre Safari 15, care permite hackerilor să acceseze istoricul browserului, precum și informațiile despre Contul Google. Prin urmare, am stat de vorbă cu specialiștii companiei MEGAHOST, lideri pe piața națională a serviciilor de găzduire web și iată care sunt măsurile de prevenire ale unei posibile scurgeri de date personale prin acest browser.

De ce această scurgere de date personale este periculoasă?

      Faptul că numele bazelor de date se scurg din diferite origini este o încălcare evidentă a confidențialității. De regulă, site-urilor web arbitrare arată ce site-uri web vizitează utilizatorul în diferite file sau ferestre. Acest lucru este posibil, deoarece numele bazelor de date sunt de obicei unice și specifice site-ului web. Mai mult, în unele cazuri, site-urile web folosesc identificatori unici specifici utilizatorului în numele bazelor de date. Aceasta înseamnă că utilizatorii autentificați pot fi identificați în mod unic și precis. Câteva exemple populare ar fi YouTube, Google Calendar sau Google Keep. Toate aceste site-uri web creează baze de date care includ ID-ul de utilizator Google autentificat, iar în cazul în care utilizatorul este conectat la mai multe conturi, se creează baze de date pentru toate aceste conturi.

      Acest lucru nu înseamnă doar că site-urile web neverificate pot afla identitatea unui utilizator, dar permite și conectarea mai multor conturi separate utilizate de același utilizator.

      În acest sens, e important de menționat că aceste scurgeri nu necesită nicio acțiune specifică a utilizatorului. O filă sau o fereastră care rulează în fundal și interogează continuu API-ul IndexedDB pentru bazele de date disponibile, poate afla ce alte site-uri web vizitează un utilizator în timp real. În mod alternativ, site-urile web pot deschide orice site într-o fereastră iframe sau pop-up pentru a declanșa o scurgere bazată pe IndexedDB pentru acel site specific.

 

Modul privat al browserului Safari te protejează împotriva scurgerilor de date personale?

      În primul rând, politica de aceeași origine este un mecanism de securitate eficient pentru toate paginile. Site-urile web cu o singură origine nu ar trebui să aibă niciodată acces la resurse din alte origini, indiferent dacă un vizitator utilizează sau nu navigarea privată, cu excepția cazului în care aceasta este permisă în mod explicit prin partajarea resurselor între origini. 

      În acest caz, modul privat din Safari 15 este, de asemenea, afectat de scurgere. Este important de reținut că sesiunile de navigare în ferestrele private Safari sunt limitate la o singură filă, ceea ce reduce amploarea informațiilor disponibile prin scurgere. Cu toate acestea, dacă vizitezi mai multe site-uri web diferite în aceeași filă, toate bazele de date cu care aceste site-uri web interacționează sunt scurse către toate site-urile web vizitate ulterior. 

Cum să te protejezi?

      Din păcate, utilizatorii Safari, iPadOS și iOS nu pot face multe pentru a se proteja fără a lua măsuri drastice. O opțiune poate fi să blochezi tot JavaScript în mod implicit și să îl permiți numai pe site-urile de încredere. Acest lucru face navigarea modernă pe web incomodă și probabil că nu este o soluție bună pentru toată lumea. În plus, vulnerabilități precum cross-site scripting fac posibilă țintirea și prin site-uri de încredere, deși riscul este mult mai mic. O altă alternativă pentru utilizatorii Safari de pe Mac-uri este trecerea temporară la un alt browser. Din păcate, pe iOS și iPadOS, aceasta nu este o opțiune, deoarece toate browserele sunt afectate. 

      Singura protecție reală este să îți actualizezi browserul sau sistemul de operare odată ce problema este rezolvată de Apple. Între timp, sperăm că acest articol va crește gradul de conștientizare a acestei probleme. Dacă ai anumite neclarități sau întrebări interesante, nu uita că compania Megahost îți poate oferi o securitate online sporită, dar și servicii de hosting cu servere vps de ultimă generație. Specialiștii noștri  sunt mereu pe fir, ca să îți răspundă la orice întrebare!