當前隨 Windows 10 預裝的 Microsoft Edge 瀏覽器,已被某安全研究人員錘爆,稱其會向該公司傳送使用者訪問過的站點的完整 URL 。
更糟糕的是,資料中不僅包含了網頁資訊,還有安全識別符號(SID)。該安全研究人員發推稱:
“除了一些熱門的攢點,Edge 顯然會將使用者訪問的頁面的完整 URL 資訊傳送給微軟,甚至還有非匿名的賬戶 ID(SID)”。
(題圖 via Softpedia)
據悉,微軟使用 SmartScreen 功能來保護使用者免受潛在的危險網站攻擊。
其原理是根據微軟維護的一份報告連線,將使用者當前訪問的頁面資訊(網站 URL)提交給微軟的伺服器去分析。
然而其傳送的資訊(包括 SID)並未經過雜湊加密,微軟在官方文件中寫到:
SID 是某個安全主體的唯一識別符號,可由作業系統進行任何實體的身份驗證,例如使用者計算機賬戶、或安全相關的上下文程序 / 執行緒。
理論上,透過包含在報告中的 SID 識別符號,微軟就可以明確知曉誰在 Windows 10 中啟用了 SmartScreen、並訪問了哪些內容。預設情況下,Edge 的 SmartScreen 設定是會給出“警告”的。
然而微軟在隱私宣告中承認,某些資訊確實已提交給該公司,以便為 SmartScreen 提供後續支援,因為這就是該功能的工作原理。
該公司寫道:“在檢查檔案時,相關資料會被髮送給微軟,包括檔名、檔案內容的雜湊值、下載路徑、以及數字證書”。
對此,研究人員建議使用類似於其它瀏覽器的方法,來改進 Windows 作業系統。
Firefox、Chrome 和 Safari,都不會將使用者的瀏覽歷史記錄傳送至雲端。它們只是比較 4 位元組的 URL 雜湊值字首,以及下載的壞的雜湊散列表。
遺憾的是,截止發稿時,微軟方面尚未就此事置評。
當前隨 Windows 10 預裝的 Microsoft Edge 瀏覽器,已被某安全研究人員錘爆,稱其會向該公司傳送使用者訪問過的站點的完整 URL 。
更糟糕的是,資料中不僅包含了網頁資訊,還有安全識別符號(SID)。該安全研究人員發推稱:
“除了一些熱門的攢點,Edge 顯然會將使用者訪問的頁面的完整 URL 資訊傳送給微軟,甚至還有非匿名的賬戶 ID(SID)”。
(題圖 via Softpedia)
據悉,微軟使用 SmartScreen 功能來保護使用者免受潛在的危險網站攻擊。
其原理是根據微軟維護的一份報告連線,將使用者當前訪問的頁面資訊(網站 URL)提交給微軟的伺服器去分析。
然而其傳送的資訊(包括 SID)並未經過雜湊加密,微軟在官方文件中寫到:
SID 是某個安全主體的唯一識別符號,可由作業系統進行任何實體的身份驗證,例如使用者計算機賬戶、或安全相關的上下文程序 / 執行緒。
理論上,透過包含在報告中的 SID 識別符號,微軟就可以明確知曉誰在 Windows 10 中啟用了 SmartScreen、並訪問了哪些內容。預設情況下,Edge 的 SmartScreen 設定是會給出“警告”的。
然而微軟在隱私宣告中承認,某些資訊確實已提交給該公司,以便為 SmartScreen 提供後續支援,因為這就是該功能的工作原理。
該公司寫道:“在檢查檔案時,相關資料會被髮送給微軟,包括檔名、檔案內容的雜湊值、下載路徑、以及數字證書”。
對此,研究人員建議使用類似於其它瀏覽器的方法,來改進 Windows 作業系統。
Firefox、Chrome 和 Safari,都不會將使用者的瀏覽歷史記錄傳送至雲端。它們只是比較 4 位元組的 URL 雜湊值字首,以及下載的壞的雜湊散列表。
遺憾的是,截止發稿時,微軟方面尚未就此事置評。