Microsoft Edge отправляет Microsoft адреса посещаемых пользователями сайтов

1

Информация отправляется в нехешированном виде.

Версия Microsoft Edge, предустановленная ​​в Windows 10, отправляет полный URL-адрес посещаемых пользователем сайтов компании Microsoft. Эти данные включают в себя не только информацию о странице, но и идентификатор безопасности (SID), сообщил исследователь безопасности Мэтт Уикс (Matt Weeks).

Microsoft использует функцию SmartScreen для защиты пользователей от потенциально опасных web-сайтов, загружаемых в браузер. SmartScreen сравнивает URL со списком адресов Microsoft, и отправляет страницу на сервер компании, следует ли разрешить загрузку сайта.

По словам исследователя, информация отправляется в нехешированном виде. В теории на основании SID Microsoft может определить, кто какой сайт посещает, если в Windows 10 активирована функция SmartScreen. По умолчанию в настройках SmartScreen для Microsoft Edge установлена опция “Предупреждать”.

Как указывается в политике конфиденциальности Microsoft, некоторая информация действительно предоставляется компании, этого требует функциональность SmartScreen.

“Данные о файле, который отправляется в Microsoft, включают имя файла, хеш контента файла, источник загрузки и цифровые сертификаты файлов”, — указывается в документации Microsoft.

Однако исследователь не согласен с подобным подходом и считает, что Microsoft могла бы использовать меры подобные тем, которые реализованы в других браузерах. Например, Firefox, Chrome и Safari не отправляют историю просмотров своим разработчикам, а сравнивает префиксы хешей URL-адресов с “загруженными списками плохих хешей”.

Microsoft пока не прокоментировала данную ситуацию.