アンバー・ニーリー
· 1分で読めます
Appleは、ウェブサイトがユーザーの閲覧履歴やGoogle IDを閲覧できるというSafariの既知のバグの修正に取り組んでいる。
日曜日、研究者らがAppleがSafari 15にIndexedDB APIを実装した方法に問題を発見したと報じられた。このバグにより、どのウェブサイトでもブラウザのインターネット活動を追跡でき、ユーザーの身元を特定できる可能性がある。
MacRumorsが発見したGitHub上のWebKitコミットによると、Appleは現在このバグの修正を準備中とのことだ。ただし、この修正は、AppleがmacOS Monterey、iOS 15、iPadOS 15のSafariのアップデートをリリースするまではユーザーには提供されない。
IndexedDBは、主要なウェブブラウザがクライアントサイドストレージとして利用するブラウザAPIで、データベースなどのデータを保持します。通常、「同一オリジンポリシー」を使用すると、どのウェブサイトからどのデータにアクセスできるかが制限され、通常はサイトが自ら生成したデータのみにアクセスでき、他のサイトのデータにはアクセスできなくなります。
macOS、iOS、iPadOS 向けの Safari 15 において、IndexedDB が同一オリジンポリシーに違反していることが判明しました。研究者らは、ウェブサイトがデータベースにアクセスするたびに、「同じブラウザセッション内の他のすべてのアクティブなフレーム、タブ、ウィンドウ」に、同じ名前の新しい空のデータベースが作成されると主張しています。
自分を守る
問題の発現方法から、Safariユーザーができることは限られています。デフォルトでJavaScriptをブロックし、信頼できるサイトでのみ有効にすることは可能ですが、ブラウジングエクスペリエンスに悪影響を与える可能性があります。
別の方法としては、一時的な対策として別のブラウザを使用することです。
結局のところ、研究者らは「唯一の本当の保護策は、Apple が問題を解決したらブラウザまたは OS を更新することだ」と認めている。
