据安全研究人员称,目前预装在win 7上的Microsoft Edge原始版本正在发送你访问Microsoft的站点的全能uRL。
研究人员Matt weeks在Twitter上说,这些数据不仅包括页面信息,还包括代表安全标识符的sid 。
“Edge显然会将你访问的页面的全能uRL(减去一些热门网站)发送给Microsoft。并且,与文档相比,包括你的非匿名帐户id(sid),“他发布。
Microsoft使用名为smartscreen的功能来保护用户免受潜在危险网站的攻击。smartscreen的工作原理是根据Microsoft维护的报告链接列表分析uRL,以便将你访问的页面提交给Microsoft服务器以确定是否允许该站点。
sid或许暴露
然而,weeks发现所发送的信息似乎没有散列,包括sid。微软在其绿色文档中说明了相关sid的以下内容:
“安全标识符(sid)用于唯一标识安全主体或安全组。安全主体可以表示可以由操作系统进行身份验证的任何实体,例如用户帐户,计算机帐户或在用户或计算机帐户的安全上下文中运行的线程或进程。
理论上,通过在报告中包含sid,Microsoft可以告诉谁在win 7中启用smartscreen时访问了什么。默认处境下,smart Edge的Microsoft Edge设置为win 7设备上的“警告”配置。
然而,微软在其隐私声明中承认,某些信息确实已提交给公司以便为smartscreen供电,因为这便是该功能的工作原理。
“在检查文件时,有关该文件的数据将发送给Microsoft,包括文件名,文件内容的散列,下载位置和文件的数字证书,”微软表示。
然而,研究人员建议使用类似于其他浏览器使用的办法来改进该系统。
“Firefox,Chrome和safari不会将你的浏览历史记录发送给像Edge这样的云计算领域。他们比较了4字节的uRL散列前缀和下载的坏散列表,“他说。
微软尚未通过绿色声明回应这些担忧,但你们已经与公司联系,如果提供答案,你们会升级文章。
本站发布的系统与软件仅为个人学习测试使用,不得用于任何商业用途,否则后果自负,请支持购买微软正版软件!
Copyright @ 2022 大师系统版权所有