Microsoft Edge, встановлений у Windows 10, відправляє повну URL-адресу відвідуваних користувачем сайтів компанії Microsoft
Microsoft Edge, встановлений у Windows 10, відправляє повну URL-адресу відвідуваних користувачів сайтів компанії Microsoft
Версія Microsoft Edge, встановлена в Windows 10, відправляє повну URL-адресу відвідуваних користувачів сайтів компанії Microsoft. Ці дані включають не тільки інформацію про сторінку, але і ідентифікатор безпеки (SID), повідомив дослідник безпеки.
Microsoft використовує функцію SmartScreen для захисту користувачів від потенційно небезпечних web-сайтів, що завантажуються в браузер. SmartScreen порівнює URL зі списком адрес Microsoft, і відправляє сторінку на сервер компанії, чи слід дозволити завантаження сайту.
За словами дослідника, інформація надсилається у нехешованому вигляді. Теоретично на основі SID Microsoft може визначити, хто який сайт відвідує, якщо в Windows 10 активована функція SmartScreen. За промовчанням у налаштуваннях SmartScreen для Microsoft Edge встановлено опцію "Попереджати".
Як вказується в політиці конфіденційності Microsoft, деяка інформація дійсно надається компанії, цього вимагає функціональність SmartScreen.
"Дані про файл, який надсилається до Microsoft, включають ім'я файлу, хеш контенту файлу, джерело завантаження та цифрові сертифікати файлів", - вказується в документації Microsoft.
Проте дослідник не згоден з подібним підходом і вважає, що Microsoft могла б використовувати заходи подібні до тих, які реалізовані в інших браузерах. Наприклад, Firefox, Chrome та Safari не надсилають історію переглядів своїм розробникам, а порівнює префікси хешів URL-адрес із "завантаженими списками поганих хешів".
Microsoft поки не прокоментувала цю ситуацію.
