據瀏覽器指紋識別服務FingerprintJS周五分享的一篇博文稱，WebKit對一個名為IndexedDB的JavaScript API的實現存在一個錯誤，可以揭示你最近的瀏覽歷史，甚至是你的身份。

簡而言之，該漏洞允許任何使用IndexedDB的網站訪問其他網站在用戶瀏覽會話期間生成的IndexedDB數據庫的名稱。這個錯誤可能允許一個網站跟蹤用戶在不同標簽或窗口中訪問的其他網站，因為數據庫名稱通常是獨特的，而且是每個網站都有的。正確和正常的行為應該是，網站只能訪問他們自己的 IndexedDB 數據庫。

在某些情況下，網站在 IndexedDB 數據庫名稱中使用獨特的用戶特定標識符。例如，YouTube創建的數據庫在名稱中包括用戶經過認證的谷歌用戶ID，根據FingerprintJS，這個標識符可用于谷歌API，以獲取有關用戶的個人信息，如個人資料圖片。這些個人信息可以幫助惡意行為者確定用戶的身份。

該漏洞影響了使用蘋果開源瀏覽器引擎WebKit的較新版本的瀏覽器，包括Mac版Safari 15和所有版本的iOS 15和iPadOS 15的Safari。這個錯誤還影響到iOS15和iPadOS15上的Chrome等第三方瀏覽器，因為蘋果要求所有瀏覽器在iPhone和iPad上使用WebKit。FingerprintJS有一個關于該bug的實時演示，表明Mac版Safari 14等舊版瀏覽器不受影響。

FingerprintJS指出，網站訪問其他網站生成的IndexedDB數據庫名稱不需要用戶操作。

"一個在后臺運行并不斷查詢IndexedDB API的可用數據庫的標簽或窗口可以實時了解用戶訪問的其他網站，"該博客文章說。"另外，網站可以在一個iframe或彈出式窗口中打開任何網站，以便對該特定網站觸發基于IndexedDB的泄漏。"

在受影響的Safari版本中，私人瀏覽模式并不能防止該漏洞。

用戶將需要等待蘋果公司通過軟件更新來解決這個錯誤--我們已經聯系了蘋果公司，看看是否計劃進行修復。同時，Safari 15用戶可以在Mac上臨時切換到不同的瀏覽器，但在iPhone或iPad上不可能這樣做，因為所有瀏覽器在這些設備上都受到WebKit漏洞的影響。

關鍵詞： Safari