2021年11/28已發現這個Webkit bug，FingerprintJS回報給蘋果。2022年1/17蘋果標記為已
解決(resolved)，可是目前他們測試iOS和MacOS的Safari還是會出現此問題。
此外，台灣媒體報導都說在更新釋出前只能關閉JS，但忽略原文還有一句「僅在信任的網站
開啟JS」，沒JS是要怎麼活啦。
FingerprintJS網站的原文做了demo演示這個bug，如果不怕死可以用iPhone Safari去他們
的網站看有多少個人資訊會洩漏:
https://youtu.be/Z7dPeGpCl8s
至於會不會洩漏密碼? 先看原理
FingerprintJS原文提及
"Safari 15’s implementation of the IndexedDB API that lets any website track yo
ur internet activity and even reveal your identity"
「Safari 15的IndexedDB API實作可能會讓網站得以追蹤你的網路活動甚至是真實身分。」
再引用網易科技的報導解釋原理:
「IndexedDB遵守同源策略，該策略限制一個源與其他源收集的數據交互。 本質上，只有生
成數據的網站才能存取。舉例來說，如果您在某個頁籤開啟電子郵件帳戶，然後在另一個頁
籤中開啟惡意網頁，同源策略會阻止惡意頁面查看和干預使用者的電子郵件。」
「蘋果在Safari 15中應用IndexedDB API違反了同源策略。 當網站與Safari中的資料庫交
互時，在同一瀏覽器會話(session)中的所有其他活動框架、頁籤和視窗都會創建一個同名
的新（空）資料庫。 」
簡單來說，Safari存取IndexedDB的行為不合規範，所有視窗共用同一個資料庫，導致A網站
能夠看到另一個B網站所建立的資料庫名稱。
這可能會導致資料外洩，例如因Google帳戶API所產生的識別ID，被追蹤甚至還原出用戶身
分。更糟糕的是網頁可在背景蒐集使用者資料而不被察覺。
此外，有些熱門網站設計不良，存取IndexedDB不需使用者輸入密碼驗證。
又，由於iOS瀏覽器app全使用它家的引擎之故，每款瀏覽器都存在洩漏風險，不像macOS起
碼還可以換其他瀏覽器躲避。
但這不代表Safari密碼會被偷光，起碼FingerprintJS原文沒有推論到這裡。只能說個人資
料有風險，而且不易察覺。
且對蘋果來說這麼重視隱私的公司，這種bug不修說不過去。
參考資料
Martin Bajanik. 2022/1/15. Exploiting IndexedDB API information leaks in Safari
15. FingerprintJS.
https://reurl.cc/GoxGgA
网易科技报道。2022/1/18。苹果Safari浏览器被曝漏洞 或泄露浏览活动和谷歌账户信息。
网易。https://reurl.cc/QjLVk2

推 詳細技術內容Resloved是目前以解決 等下一版更新推送這樣嗎

這是後門啦，不是漏洞

本篇正解，這個洞主要是隱私問題，有心人可以知道你看過哪些站，有機會知道帳號是什麼等，至於密碼應該是台灣媒體理解錯誤自己亂加的…國外沒本篇有寫到本篇→半篇

大概台灣媒體看到Password一字就開始加油添醋不意外 台灣媒體是生產業

說到這個 公司開發的app刪除iOS的cookie在api請求時連同webview可一併刪除 但是安卓就是無法這樣 我猜可能是同一個問題看來我們公司iOS開發得辛苦了

IndexedDB類似資料快取，哪個開發的人會密碼暫存在這啊，對網站運作沒幫助啊

這篇讚讚

僅瀏覽信任的網站

跟密碼同樣機密等級但比較安全的各種token一樣會被拿取

no，這個洞leak的只是db name，沒人會用token當db name

蘋果不是最安全，無後門，不回傳資料嗎？都是屁話，只是以前人家懶的去搶。