24/07/19
Версия Microsoft Edge, предустановленная в Windows 10, отправляет полный URL-адрес посещаемых пользователем сайтов компании Microsoft. Эти данные включают в себя не только информацию о странице, но и идентификатор безопасности (SID), сообщил исследователь безопасности Мэтт Уикс (Matt Weeks).
Microsoft использует функцию SmartScreen для защиты пользователей от потенциально опасных web-сайтов, загружаемых в браузер. SmartScreen сравнивает URL со списком адресов Microsoft, и отправляет страницу на сервер компании, следует ли разрешить загрузку сайта.
По словам исследователя, информация отправляется в нехешированном виде. В теории на основании SID Microsoft может определить, кто какой сайт посещает, если в Windows 10 активирована функция SmartScreen. По умолчанию в настройках SmartScreen для Microsoft Edge установлена опция "Предупреждать".
Как указывается в политике конфиденциальности Microsoft, некоторая информация действительно предоставляется компании, этого требует функциональность SmartScreen.
"Данные о файле, который отправляется в Microsoft, включают имя файла, хеш контента файла, источник загрузки и цифровые сертификаты файлов", — указывается в документации Microsoft.
Однако исследователь не согласен с подобным подходом и считает, что Microsoft могла бы использовать меры подобные тем, которые реализованы в других браузерах. Например, Firefox, Chrome и Safari не отправляют историю просмотров своим разработчикам, а сравнивает префиксы хешей URL-адресов с "загруженными списками плохих хешей".
