Safari浏览器曝出API漏洞，可泄露浏览数据和用户身份

长期以来，苹果一直以隐私保护为主要卖点，大力推荐自家的 Safari 浏览器，比如部署了防止跨站点追踪的举措和隐私报告。然而近日，该软件却曝出了处理 IndexedDB API 时的一个漏洞，或导致签署努力功亏一篑、泄露与用户浏览习惯相关的隐私信息。

据悉，IndexedDB 是被广大浏览器客户端所采纳的一款存储 API，多用于保存数据库等数据。

通常情况下，同源策略会限制哪些数据可被某个特定的网站访问。

此外一般只允许一个网站只能访问其生成的数据、而不能摸到其它网站的数据。

尴尬的是，在 Safari 15 for macOS、iOS 和 iPadOS 版本中，我们惊讶地发现，

每当网站与其数据库交互时，处于同一浏览器会话中的所有其它活动框架、选项卡、以及窗口，都会创建一个使用相同名称的新空数据库。

由此造成的数据泄露是个问题，因其可让别有用心的站点知悉处在同一会话中的不同选项卡、或窗口中访问的其它站点。

此外考虑到部分数据库具有唯一、且特定于某个网站的名称，问题就变得更加糟糕。

对于可共享相同身份验证凭据的站点（比如 Gmail 和 YouTube），数据库名称还可包含经过身份验证的相同 Google 用户 ID 。