Przeskocz do:

Apple Blog.pl

3.03
2010
11:00
Safari dalej nie chroni naszej prywatności

safari_icon-02-184644.jpg
Pisałem już na blogu kiedyś, zaraz po wprowadzeniu przez Apple Safari w wersji 4, że przeglądarka średnio dba o naszą prywatność. Okazuje się, że mimo kilku zmian, dalej da się zobaczyć jakie strony odwiedzamy, nawet jeśli tego nie chcemy.

Kiedyś problematyczny był mechanizm nowego archiwum, który wykonuje zdjęcia odwiedzanych stron www i przechowuje je w katalogu na dysku – zaglądając do tego katalogu można było zobaczyć zdjęcia stron chronionych hasłem (https, czyli na przykład zdjęcie z panelu transakcyjnego banku) czy prywatne strony (nawet jeśli użyliście funkcji „przeglądania prywatnego” w menu Safari).

Od czytelnika dostałem właśnie informacje o rewelacjach jakie znalazł w cache przeglądarki:

Witaj Pawle,

~/Library/Caches/com.apple.Safari/Webpage Previews ((Tylda na początku adresu oznacza katalog domowy użytkownika, a więc: dysk twardy/Użytkownicy/katalog z domkiem.))

pamiętam, że kiedyś chyba pisałeś coś o tym na blogu. W katalogu który podałem powyżej Safari składuje alternatywną historie przeglądania, złożoną z obrazków, która nie jest czyszczona przez opcję „wyzeruj Safari”. Lekko straszne.

zrzut ekranu 2010 03 02 (godz  18 40 51) 02 184426
Na tym nie koniec rewelacji – Safari przechowuje także adresy stron, które są przez użytkownika wyłączone z TopSites:

~/Library/Safari

a tu, w pliku TopSites.plist Safari składuje linki, na których obrazki użytkownik kliknął iksik w rogu. Wszystkie znajdują się w tablicy BannedURLStrings.

Problemy z przeglądarką można zgłaszać do Apple za pomocą odpowiedniej pozycji w menu, co też zrobiłem.

zrzut ekranu 2010 03 02 (godz  18 25 24) 02 182559
Szkoda, że mimo upływu tylu miesięcy Apple dalej pozostawia takie luki w przeglądarce dostępne. Jeśli zastanawiacie się, jak potencjalny złoczyńca mógłby wykorzystać ten błąd, pozwólcie, że narysuję wam prosty scenariusz:

  1. Na firmowym komputerze księgowa loguje się codziennie do banku i wykonuje przelewy. Kiedy komputer się psuje i trafia do serwisu, serwisant mając dostęp do dysku przegląda zdjęcia z panelu transakcyjnego i dowiaduje się co, gdzie, komu i ile jest przelewane. Jeśli system bankowy jest gorzej skonstruowany, może nawet znaleźć sposób na zalogowanie się jako księgowa bądź podszycie się pod nią np. podczas kontaktu z telefoniczną infolinią banku.
  2. Mąż zdradza żonę, żona się dowiaduje jak :)

Przy okazji: katalogi z podglądami, o których mowa powyżej, ważą u mnie nieco ponad 1GB w tej chwili – jeśli szukacie oszczędności, wyzerowanie Safari i wyczyszczenie tych miejsc nie jest złym pomysłem.

19 komentarzy do tego tekstu

  1. iSeb

    Właśnie przejrzałem te pliki z ostatniego tygodnia. Na szczęście nie ma tam żadnego screnna ze strony banku. Jednak nawet wyczyszczenie cache’a w Safari nie pomaga, tylko wyzerowanie przeglądarki. Tak czy owak problem jest.

  2. Marek

    Faktycznie nieciekawie to jest zrobione…. U mnie miniaturki zajmowały bagatela ponad 1 GB miejsca (niespełna 5000 plików…) :(

  3. Iro

    Ja mam inny pomysł.
    Wystarczy nie używać Safari, co też zrobiłem.
    Jak pokazały wieloletnie doświadczenia, domyślne przeglądarki systemowe są najmniej bezpieczne.

  4. tomgru

    a czy czasem CleanMeMac tego nie usuwa….przy np regularnym czyszczeniu..??

  5. kris.skib

    Na stronie http://roderick.dk/blog/2009/08/03/disable-webpage-preview-images-in-safari-4-final/ jest instrukcja jak wyłączyć tworzenie web page previews.

  6. dredzik

    „Safari przechowuje także adresy stron, które są przez użytkownika wyłączone z TopSites”

    A niby jak inaczej ma ich nie wyświetlać w TopSites? Maki nie mają jeszcze kryształowych kul na wyposażeniu…

  7. ClassicGOD

    To nie sa wady Safari, mozna by tutaj dyskutowac jeszcze na temat Top Sites (adresy mogly by byc trzymane jako zahaszowany string) ale archiwum Blipa? Nie chce was martwic ale zabezpieczenia to pojecie blipowi obce – strona nie jest szyfrowana ani w zaden sposob oznaczona jako poufna wiec skad Safari ma wiedziec ze akurat tej strony miniaturki ma nie robic? Zeby nie byc goloslownym na szybko pobralem CocoaPacketAnalyzer ktorego nie uzywalem juz dosc dlugo. Szybki test – niecale 400pakietow i co widze? Moje haslo, login i dane personalne golym tekstem. Safari sie czepiacie a Blipa nie znacie ;)

  8. Paweł Nowak

    @ClassicGOD wszystko ok, tylko te zdjęcia nie są usuwane, kiedy „zeruję Safari” i szczególnie zaznaczam opcje „Usuń wszystkie obrazy podglądu witryn” więc coś nie gra, prawda?

  9. ClassicGOD

    Tak jest to bug jednak nie jest to zagrozenie dla naszej prywatnosci jako takie – sam Blip stanowi takowe zagrozenie. Ja dla przykladu nie widze w moich miniaturkach nic co moglo by mojej prywatnosci zaszkodzic. Safari nie robi zdjec stronom HTTPS wiec nasze dane bankowe sa bezpieczne gdyby Blip postepowal podobnie mozliwe ze tego wpisu na blogu by nie bylo.

  10. Joanna

    Nie wiem, co powiedzieć, tak mnie zatkało. Jak to możliwe, że Safari cichaczem robi takie zrzuty! Ja już nie mówię o blipach czy stronach banku (najwyraźniej https nie są brane pod uwagę), ale przy pracy nad pewnymi projektami obowiązuje mnie zachowanie tajności, wszystkie pliki na dysku dotyczące tych projektów przechowuję zaszyfrowane, a tu nagle Safari sobie może zupełnie bez mojej zgody i wiedzy zapisać zrzut ekranu takiego projektu?! Wygląda na to, że muszę zmienić przeglądarkę, przynajmniej do spraw wymagających tajności. :(

    (Nie mówiąc o tym, że nagle odkryłam gdzie się podziało moje wolne miejsce na dysku ;-))

  11. Adam

    Aby powstrzymac Safari od robienia zdjec, wystarczy zablokowac folder, w ktorym sa one skladowane. U mnie dziala.

  12. blissman

    ech… tania sensacja… a 50% przykładów podanych jest bardzo nietrafionych i pokazujących, że autor nie weryfikuje swoich rewelacji. Https nie robi zdjęć, więc przykład z bankiem odpada. Jeśli żona przegląda regularnie biblioteki to się dowie, jeśli mąż jest idiotą to żona też się dowie, a safari nie będzie miało z tym nic wspólnego. Jak już ktoś chce być super bezpieczny to zawsze jest BSD :)

  13. piowiec

    Problem dotyczy chyba tylko Snow tak ? . U mnie w 10.5 w podanej lokalizacji po wyzerowaniu Safari ( co zawsze robie przed wylaczeniem przegladarki ) czysto zadnych zdjęc

  14. piowiec

    W panelu Wyzeruj Safari wyraznie jest funkcja do odfajkowania „Usuń wszystkie obrazy podglądu witryny” Najlepiej w panelu Wyzeruj Safari zaznaczyć wszystkie funkcje od góry do dolu i nie widzę problemu

  15. Marek

    @piowiec – faktycznie w 10.5.8 nie ma problemu i to działa jak napisałeś. Sprawdzę w firmie na Snow jak to wygląda.

  16. asiej

    właśnie włączyłem „wyzeruj safari” i katalog z obrazkową historią przeglądania został opróżniony. trzeba tylko chwilkę poczekać (tych plików jest tam na prawdę dużo).
    co ciekawe najstarsze pliki miały datę z lutego (czyli kilka miesięcy po dacie zakupienia mojego ostatniego macbooka).
    p.s. Pawle sprawdzaj lepiej co piszesz, twój tekst już poszedł w świat i jest pożywką dla antyfanów Apple.

  17. Piotr Konieczny

    Hm… u mnie też reset z zaznaczonym „reset all webpage image previews” skasował te miniaturki… Czy ktoś ma więcej informacji, kiedy ten bug z „niekasowaniem” się objawia?

  18. Paweł Opydo

    Safari > Preferencje > Usuwaj wpisy historii po…

    O ile pamiętam tu można to ograniczyć. Poza tym, to na co zwrócili uwagę inni – HTTPS nie screenuje.


Strony, które pisały o tym tekście

  1. » Safari i zamach na prywatność internautów -- Niebezpiecznik.pl --

    […] informuje jeden z czytelników Applebloga: W katalogu ~/Library/Caches/com.apple.Safari/Webpage Previews Safari składuje alternatywną […]