Браузер Microsoft Edge отправляет фильтру SmartScreen незашифрованные сведения о сайтах, открытых пользователем. Данные передаются по защищенному каналу, но URL при этом не хешируется. По мнению ИБ-специалистов, это может стать причиной раскрытия конфиденциальной информации о работе с браузером, пишет Threatpost. Как выяснил эксперт по информационной безопасности Мэтт Уикс (Matt Weeks), при открытии веб-ресурса Edge передает его URL на сервис SmartScreen для анализа. Фильтр безопасности сверяет адрес сайта со своей базой данных и, при необходимости, выдает пользователю предупреждение. Все операции осуществляются по HTTPS-каналу, однако ссылка попадает к Microsoft в открытом виде. Вместе с адресом разработчики получают и уникальный идентификатор пользователя (SID), привязанный к аккаунту Windows. Таким образом, у вендора есть возможность отслеживать перемещения владельца браузера. Официальной реакции Microsoft на эту информацию не последовало, однако один из разработчиков Edge, Эрик Лоуренс (Eric Lawrence), прокомментировал возмущенные реплики пользователей в Twitter. По словам специалиста, в документации браузера прямо указано, что при использовании SmartScreen он передает информацию о подозрительном сайте или файле на сервис Microsoft по защищенному каналу (HTTPS). Позже ИБ-аналитики отметили, что актуальная версия браузера, созданная на базе движка Chromium, более не отправляет SID на серверы компании.
|
Статистика | Рейтинги | Авторам | Реклама | |
Copyright © 1999-2021 Softodrom.ru О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта |
|
|