更多

    Google 報告指 Safari 保護私隱功能 ITP 存在漏洞

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    宜家家居公布全線門市恢復營業 惟網上購物仍然停頓

    經過連日搶修,宜家家居今日公布所有分店已經恢復營業,顧客可以在收銀櫃檯使用現金或信用卡購買店內自取產品,不過仍有不少服務暫停,包括網上購物服務。宜家家居仍未明確交待今次事故的詳情,只表示是收銀櫃枱系統技術問題。

    Microsoft Flight Simulator 英國更新押後推出

    繼日本和美國 World Update 之後, Microsoft Flight Simulator 原定於下星期二( 1 月 26 日)推出第三個 World Update ,針對英格蘭和愛爾蘭增加景點、機場和加入新的數碼高程模型( DEM )等。不過昨晚官方發出公告,指由於採用了新的製程和數據來源,需要升級工具才能令新增的攝影測量城市無縫地整合到遊戲裡。目標是押後一個星期推出更新。

    支援 HomeKit  Wemo WiFi 智能插座 Apple Store 開售

    Belkin 和鴻騰精密科技旗下的智能家居品牌 Wemo 宣布,首次在香港推出 Wemo Wi-Fi 智能插頭,可配合 Apple HomeKit 使用,利用語音來控制電器開關,讓舊有的電器如電風扇和電燈等都可以變成智能家電。

    Google 資訊保安工程小組昨日發表報告,指 Apple 在 2017 年在 Safari 上推出的保護私隱功能 ITP ( Intelligent Tracking Prevention ,智能防止追踪)存在漏洞,有漏洞個人資料的可能性。 Apple 去年 12 月曾發表網誌,感謝 Google 提供有關惡意利用 ITP 來追踪用戶的報告,相信所指的就是昨日公開的報告。

    Safari 的 ITP 原意是幫助用戶防止被網站追踪,不過因為漏洞反而幫助人追踪用戶。
    Safari 的 ITP 原意是幫助用戶防止被網站追踪,不過因為漏洞反而幫助人追踪用戶。

    ITP 是 Apple 在 2017 年 macOS 更新時引入 Safari 的私隱保護功能,用來限制以「第三方 Cookie 」來進行跨網追踪。所謂第三方 Cookie ,簡單來說就是瀏覽 A 網站時會留下 B 網站的 Cookie ,做法是 A 網站嵌入了來自 B 網絡服務的 Javascript 程式,該些程式會追踪用戶在源網站的行為和瀏覽紀錄,以 Cookie 紀錄下來。用來進行如用戶行為調查、針對性廣告等。常見的第三方 Cookie 就有廣告平台、 Amazon 和 Facebook 等 SDK 。

    Safari 和 Firefox 都早已禁止了這種第三方 Cookie ,而 Google 也在上月公布 Chrome 會在兩年內逐步取消對第三方 Cookie 的支援。而今次 Google 報告指出 Safari 的 ITP 不單無法阻止惡意網站追踪用戶,甚至反而可能洩漏用戶瀏覽紀錄!

    報告指出五種利用 ITP 漏洞可採取的攻擊:

    1. 披露 ITP 清單中的網域;
    2. 識別出個別到訪過的網站;
    3. 透過 ITP pinning 建立持續追踪指紋;
    4. 將網域強制加入 ITP 清單;
    5. 透過 ITP 進行跨網站搜尋攻擊;

    Google 的 Chrome 的保安與私隱的工程總監 Justin Schuh 指 Apple 雖然已經修補了漏洞,不過應該沒有根治問題。因為與 ITP 同類限制第三方 Cookie 功能的缺陷在 Chrome 的 XSS Auditor 也能確認得到,一定要刪除有問題的程式碼才能解決得到,但那對 ITP 來說那是重要的部分,要看 Apple 打算怎樣解決問題。

    您會感興趣的內容

    相關文章