Dans Safari 15 sur macOS et dans tous les navigateurs sur iOS et iPadOS 15, l’API IndexedDB est vulnérable à une fuite d’information

Dans Safari 15 sur macOS et dans tous les navigateurs sur iOS et iPadOS 15, l’API IndexedDB est vulnérable à une fuite d’information

Le

L’API IndexedDB de Safari 15 est vulnérable à une fuite d’informations qui permet à tout site web de suivre votre activité sur internet et même de révéler votre identité. La fuite a été signalée au WebKit Bug Tracker le 28 novembre 2021 sous le numéro de bogue 233548. Apple a corrigé cette vulnérabilité avec la sortie de Safari 15.3 sur iOS et macOS.

L’API IndexedDB est une technologie de stockage client conçue pour stocker de grandes quantités de données. Elle est prise en charge par tous les principaux navigateurs et est très couramment utilisée. En raison de son caractère de bas niveau, de nombreux développeurs choisissent d’utiliser des wrappers qui abstraient la plupart des subtilités et fournissent une API plus facile à utiliser et plus conviviale pour les développeurs.

L’API IndexedDB suit la politique de même origine qui est un mécanisme de sécurité fondamental qui restreint la façon dont les documents ou les scripts chargés depuis une origine peuvent interagir avec des ressources d’autres origines. Une origine est définie par le schéma (protocole), le nom d’hôte (domaine) et le port de l’URL utilisée pour y accéder. Les bases de données indexées sont associées à une origine spécifique et les documents ou scripts associés à des origines différentes ne doivent jamais avoir la possibilité d’interagir avec des bases de données associées à d’autres origines.

Dans Safari 15 sur macOS et dans tous les navigateurs sur iOS et iPadOS 15, l’API IndexedDB viole la politique de même origine. Chaque fois qu’un site web interagit avec une base de données, une nouvelle base de données (vide) avec le même nom est créée dans tous les autres cadres, onglets et fenêtres actifs dans la même session de navigateur. Les fenêtres et les onglets partagent généralement la même session, sauf si vous basculez vers un profil différent, par exemple dans Chrome, ou ouvrez une fenêtre privée. Pour plus de clarté, nous désignerons les nouvelles bases de données comme « bases de données dupliquées de différentes origines » pour le reste de l’article.

La fuite des noms de base de données à travers les différentes origines est une violation évidente de la vie privée. Elle permet à n’importe quel site web d’apprendre les sites web que l’utilisateur visite dans différents onglets et peut également révéler des informations sensibles telles que les nom d’utilisateur et les mots de passe. Il est donc très important de protéger ces données et de s’assurer qu’elles ne tombent pas entre de mauvaises mains.

DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90

Intéressant ? Partagez-le !

Newsletter

Audit gratuit Conformité RGPD

spot_imgspot_img

A ne pas manquer !

Encore plus d'actualités
Informations RGPD

Une faille majeure révèle les données de millions d’internautes : comprendre l’impact et les enjeux

Faille majeure révèle les données de millions d'internautes :...

La toile du renseignement français : entre premier et second cercle

Le renseignement français : Dans l'arène de la sécurité...

Écoutes, géolocalisations : une surveillance accrue en réponse aux menaces diversifiées en France

Écoutes, géolocalisations : Les récentes statistiques en France montrent...