You are currently viewing マイクロソフトは、お近くのサイトの完全な URL を受け取ったと伝えられています。 / マイクロソフト

マイクロソフトは、お近くのサイトの完全な URL を受け取ったと伝えられています。 / マイクロソフト

セキュリティ研究者は、マイクロソフトがWindows 10にプリインストールされているMicrosoft Edgeの元のバージョンを実行しているユーザーが訪問したサイトの完全なURLを受け取っていると主張しています。さらに懸念されるのは、研究者のMatt Weeksによると、セキュリティ識別子(SID)がページの詳細に加えて、送信されたデータの一部でもあるということです。

いくつかの人気のあるサイトを除いて、Edgeは、ユーザーがアクセスしたページの完全なURLをマイクロソフトに送信します。ドキュメントだけでなく、SID もデータに含まれています。

マイクロソフトはSmartScreenに依存して、有害なウェブサイトがブラウザに読み込まれると、有害なウェブサイトによって課せられるリスクからユーザーを保護します。マイクロソフトが報告したリンクの一覧に対するスマートスクリーン。したがって、Microsoft サーバーは、ユーザーが特定のサイトへのアクセスを許可すべきかどうかを決定します。

前述のように、SID は送信された情報の中にも含まれます。さらに、ハッシュ化されていない。SID という用語が認識されない場合は、セキュリティ プリンシパルまたはグループを一意に識別するセキュリティ識別子として使用します。セキュリティ プリンシパルは、ユーザー アカウント、コンピュータ アカウント、またはユーザー アカウントまたはコンピュータ アカウントのセキュリティ コンテキストで実行されているプロセスのスレッドを表すことができます。つまり、OS によって本物と呼べるものは何でも表すことができます。

基本的に意味することは、SIDの助けを借りて、SmartScreenがWindows 10で有効になっている限り、マイクロソフトは訪問者と訪問するページを簡単に見つけることができるということです。

マイクロソフトはまた、同社がSmartScreenを実行するために特定の情報を収集することを保有しています。会社に送信されるデータには、ファイル名、ハッシュファイルの内容、ダウンロード場所、ファイルのデジタル証明書が含まれます。



研究者は、より良いアプローチを提案しています, クロムのようなブラウザが続く何か, Firefoxとサファリ.これらのブラウザーは、ユーザーの閲覧履歴をクラウド マスターに送信しません。代わりに、4 バイトの URL ハッシュ プレフィックスが、ダウンロードされた不正なハッシュ リストと一致します。

マイクロソフトはこの件に関するコメントをまだ発表していません。同社がユーザーのプライバシーとセキュリティを真剣に受け止めているのと同じくらい、上記の懸念に関する確固たる説明と可能な解決策を持っている方が良いです。