标签: Safari

苹果为 Safari 推新隐私功能:防止用户浏览习惯泄露

新浪科技讯 北京时间9月17日上午消息,苹果为Safari浏览器中推出一系列新隐私功能,包括控制cookies,这将使Facebook等公司更难跟踪用户。 一直以来,各大公司习惯使用cookies来记录用户过去的访问内容。这有助于保存登录信息和偏好设置。但如今,这些cookies也被用来绘制用户画像,以便根据用户的喜好精准推送广告。 Cookies的使用不仅限于访问特定网站。比如,其他内嵌了Facebook的“喜欢”、“分享”按钮的网站会向Facebook的服务器发送信息等待服务器的回复,然后Facebook的服务器便可以访问用户存储的cookies。这意味着Facebook将知道用户频繁访问的网站或阅读的新闻。然后,可以根据这些信息定制广告。 但是,新的Safari功能将使得这一波操作更加困难。 没有缓冲期 以往,Safari会在用户最后一次访问服务器后24小时再禁止保存在第三方网站的服务cookies。这段缓冲期给Facebook、谷歌等服务提供了极大便利。如今,Safari将自动阻止这些cookies,或推送提示征求用户的许可。 苹果表示,Safari仍可以保存用户的登录信息等偏好细节,不过有些网站将需要调整他们的代码。 隐藏细节 浏览器通常会显示有关您设备的看似无害的信息,比如使用的操作系统和安装的字体。网站可以利用这些信息来针对页面进行格式上的微调。 一直以来,浏览器上提供大量信息,很大程度上是因为这些信息看似无害。但如今,这些信息放到一起,足以用来识别用户身份。Safari现在将隐藏其中的许多细节,以便隐去用户的身份特征。 隐私服务Anonymizer的创始人兰斯·科特雷尔(Lance Cottrell)表示,这和数字化模糊某人照片的系统有点相似。“你可以看出来照片里的是一个人不是一条狗,但这个人具体长什么样你看不出来,”他说。 比如,Safari将仅显示机器附带的字体,而不显示任何自定义安装的字体。 隐藏网址 访问网站时,浏览器通常会发送用户刚才所浏览网页的网址。这个地址可以十分具体,可能导致其它问题,比如,会泄露您刚刚在电商网站上浏览的具体产品。 现在,Safari将只发送该网站的主域名。所以,以后,Safari发送的地址只会是“Amazon.com”而不会是亚马逊上的具体产品页面的地址。 关闭漏洞 有的广告公司企图通过使用某些技巧来绕过针对第三方cookies的限制。这个作弊方法可以让第三方cookies看起来像是用户当前访问网站的cookies。Safari目前正尝试解决这个问题。 以上变化将作为iPhone和iPad上的操作系统iOS 12的一部分更新于周二发布,至于Mac系列电脑,将通过Mojave系统更新在一周后发布。 多数安全措施仅限于苹果认为是跟踪器的cookies。这样做是为了减少误伤第三方合法cookies的可能性。   稿源:新浪科技,封面源自网络;

微软和苹果浏览器漏洞:不改变地址即可改变网页内容

新浪科技讯 北京时间9月12日早间消息,据美国科技媒体The Register报道,安全研究人员发现Edge和Safari浏览器存在漏洞,恶意者可以利用漏洞发起攻击,在不改变地址的情况下改变网页内容。 安全研究人员拉菲·巴罗奇(Rafay Baloch)指出,微软已经用补丁修复漏洞,不过苹果行动迟缓,所以目前Safari仍然不安全。 通过漏洞,攻击者可以加载合法页面,让网页地址在地址栏显示,然后快速将页面内的代码转换为恶意代码,地址栏中的URL地址无需改变。这样一来,攻击者可以创建虚假登录屏幕或者其它表格,收集用户名、密码及其它数据,用户很难区分真假,他们会认为自己登录的页面是真实的。 浏览器的源码是封闭的,巴罗奇不清楚Edge和Safari存在该漏洞,但Chrome和火狐没有的原因。照他的猜测,浏览器决定何时显示页面地址可能是问题的关键。巴罗奇说:“不同的浏览器处理导航的手法并不一样,当页面正在加载时,Safari、Edge浏览器允许代码更新。浏览器可以允许地址栏在页面完全加载之后更新一次,这样就可以解决问题了。” 微软目前已经修复漏洞。6月2日巴罗奇向苹果提交报告,至今还没有修复。按照惯例有90天的时间窗口,巴罗奇说他会披露漏洞,但是在苹果发布补丁之前不会公开代码。   稿源:新浪科技,封面源自网络;

苹果公司解决 WebKit 框架中的 HSTS 用户跟踪问题

苹果公司为 WebKit 框架添加了新的保护措施,以防止可能滥用 HTTP 严格传输安全(HSTS)安全标准来跟踪用户。HSTS 提供了一种机制,通过这种机制,网站只能通过安全连接和直接浏览器访问安全版本所在的位置来声明自己。 基本上,当用户尝试连接到网站的不安全版本时,HSTS 强制浏览器转到网站的 HTTPS 版本。 由于 HSTS 告诉网络浏览器在被重定向到安全位置时记住并且将来自动去那里,可以创建一个“超级 cookie”,并且它可以被跨站点跟踪器读取。攻击者可以利用用户的  HSTS 缓存在设备上存储一位信息。 通过注册大量域并强制从受控子域中加载资源,攻击者“可以创建足够大的比特向量来唯一地表示每个站点访问者。” 在 HSTS 规范中描述了这个问题:“对于那些控制一个或多个 HSTS 主机的人来说,将信息编码成他们控制的域名是可能的,并且使得这些 UA 缓存这些信息当然是在注意 HSTS 的过程中 主办。 这些信息可以由其他主机通过巧妙构建和加载的网络资源来检索,导致 UA 发送查询到(变体)编码的域名。“ 缓解这种跟踪攻击并不容易,因为它需要平衡安全和隐私目标。 但是,由于 HSTS 的隐私风险仅作为理论追踪向量呈现,但尚未提供实际恶意滥用协议的证据,因此浏览器将遵守网站提供的所有 HSTS 指令。 苹果最近意识到这种理论攻击已经开始针对 Safari 用户进行部署。 这促使这家科技巨头开创了一个既保护安全网络流量又减少跟踪的解决方案。由于 HSTS 漏洞需要创建一个初始跟踪标识符并读取它,苹果建议对攻击双方进行缓解。 一方面,苹果公司修改了网络堆栈,只允许为加载的主机名或顶级域 + 1 设置 HSTS 状态。因此,跟踪器不能再有效地在大量不同的位上设置 HSTS,但需要单独 访问跟踪标识符中具有活动位的每个域。 WebKit 还限制了可以链接在一起的重定向数量,从而限制了可以设置的位数。另一方面,当动态 HSTS 导致一个不安全的第三方子资源从被阻塞的 cookie 升级到认证连接的域中加载时,苹果还修改了 WebKit 以忽略 HSTS 升级请求(并使用原始 URL)。 在内部回归测试,公共种子和最终的公共软件发布期间收集的遥测数据表明,上述两种缓解成功地阻止了 HSTS 超级 cookie 的创建和阅读,同时又不会使第一方内容的安全目标退步。 我们相信他们符合最佳实践,并保持 HSTS 提供的重要安全保护。 稿源:东方安全,封面源自网络;

PWNFEST 黑客大会:苹果 Safari 与微软 Edge 浏览器均被攻破

安全大会组织者Vangelis在推特上宣布,在2016年PWNFEST黑客大会上,盘古团队和JH Hackers联合破解了macOS Sierra系统下的Safari浏览器,并获得了Root权限。这次成功破解Safari也让团队获得了高达10万美元的赏金。盘古是一支来自中国的iOS越狱团队。 目前,如何破解Safari浏览器的细节还没有公布,不过团队成功的拿到了基本(8万美元)和额外(2万美元)奖励。目前,运行iOS10的iPhone7 Plus还没有被破解,如果能成功破解,可以获得18万美元赏金。 在PWNFEST大会上,Safari并不是唯一一个被攻破的浏览器,Windows10系统下的微软 Edge浏览器同样被攻破。谷歌Pixel智能手机也被破解,甚至可以实现远程代码运行,奖金12万美元。 稿源:IT之家, 封面:百度搜索