Firefox浏览器IndexedDB API现隐私漏洞，Mozilla已发布修复补丁

1. Firefox浏览器IndexedDB API隐私漏洞曝光

本文介绍了Firefox浏览器IndexedDB API存在的隐私漏洞，该漏洞影响所有基于Firefox的浏览器。网站可利用此漏洞，通过IndexedDB返回条目的顺序生成唯一、确定且稳定的进程生命周期标识符，即使在用户期望更强隔离性的环境中也能实现跨源和同源跟踪。

2. 漏洞详情是怎样的？

在Firefox隐私浏览模式和Tor浏览器中，`indexedDB.databases()`返回的数据库元数据顺序基于内部存储结构，而非数据库创建顺序。由于UUID映射在Firefox进程生命周期内稳定，哈希表结构和迭代顺序确定，返回的顺序成为生成的UUID值、哈希函数行为、哈希表容量和插入历史的确定性函数，且该顺序在标签页和隐私窗口之间持久存在，只有完全重启Firefox才会重置。

3. 隐私影响有哪些？

跨源影响方面，无关网站可独立推导相同标识符，在无cookie或其他共享存储的情况下跨域关联用户活动。同源影响方面，在Firefox隐私浏览模式下，即使关闭所有隐私窗口，只要Firefox进程仍在运行，标识符仍可持久存在；在Tor浏览器中，稳定标识符破坏了“新身份”功能的隔离性。

4. 漏洞如何修复？

修复方法是停止暴露源自内部存储布局的熵，最有效的缓解措施是按规范顺序（如字典排序）返回结果，这样既能保留API对开发者的实用性，又能消除指纹识别信号。

5. 负责任的披露情况如何？

研究团队已将此问题报告给Mozilla和Tor Project，Mozilla已在Firefox 150和ESR 140.10.0中发布修复补丁，该补丁在Mozilla Bug 2024220中跟踪。

6. Fingerprint如何帮助预防和检测在线欺诈？

虽然文章未详细提及Fingerprint如何预防和检测在线欺诈，但从其产品和服务可推测：设备智能平台方面，Fingerprint的Device Intelligence Platform可通过收集和分析设备的各种信息，如硬件指纹、软件配置等，为每个设备生成唯一的标识符，帮助识别异常设备和行为，从而预防和检测欺诈。智能信号方面，Smart Signals可能提供实时的欺诈检测信号，通过监测用户行为、交易模式等，及时发现潜在的欺诈活动。AI代理检测方面，AI Agent Detection可识别自动化脚本和机器人，防止它们进行欺诈性操作，如批量注册、刷票等。集成功能方面，通过与其他安全系统和服务集成，Fingerprint可以扩大其欺诈检测的范围和能力，提供更全面的安全防护。

7. 有哪些相关文章？

相关文章有介绍如何利用Chromium扩展程序泄露的时间戳跟踪用户在多个网站的活动的文章；探讨Safari 17的新反指纹识别技术对音频指纹识别和浏览器区分的影响的文章；提供检测账户共享的技术和将用户转化为付费客户的教程的文章；讨论iOS应用程序安全技术、优缺点及替代欺诈检测方法的文章。那么这些文章中还有哪些值得关注的内容呢？