聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软 Edge 浏览器似乎将用户访问的 URL 发送至 Bing API 网站。
上周,Reddit 用户率先发现 Edge 存在这些隐私问题,注意到最新的 Edge 版本将请求发送至 bingapis.com,附带用户所导航的几乎每个页面的完整 URL。微软表示正在调查这些报告。
首先发现该问题的 Reddit 用户 hackermchackface 表示,“搜索该 URL 的引用给出非常少的结果,关于该特性的文档根本不存在。”虽然 Reddit 用户无法披露为何微软 Edge 将用户所访问的 URL 发送至 Bing API 网站,但软件工程师兼 EarTrumpet 的其中一名开发人员 Rafael Rivera 表示是因为 Edge 中的某特性实现不良导致的。
Rivera 表示,“微软 Edge 现在拥有一个默认启用的创建者关注特性。它的意图似乎是当用户位于某些页面时通知 Bing,但似乎运行不正确,反而是将所访问的几乎每个域名都发送给 Bing。”
微软最开始在去年在 Edge 中测试这一新的创建者关注特性,几个月后大规模推出。该特性旨在允许用户关注 YouTube 及 web 上最喜欢的内容创建者。如禁用该特性,URL 将不再被发送至 bingapis.com。
微软对该创建者关注特性提供了主过滤器,包括被拦截的无法被发送到 Bing API 站点的 URL 如 Pornhub。对于此前未检查的 URL 而言,它会被传递给 bingapis.com,从而造成庞大的隐私问题,尤其是该功能被默认启用时。
微软通信总监 Caitlin Roulston 表示,“我们注意到这些报告,正在调查并将采取适当措施解决任何问题。”微软尚未解释这些URL为何会被发送给 bingapis.com 服务或者 Edge 如何被配置,将用户访问的几乎所有站点都发送给 Bing。
在微软完成调查并推出补丁之前,强烈建议用户关闭 Edge 中的“关注创建者”特性。你可能永远不知道它的存在以及永远不会使用它,因此它并非非用不可的功能。可导航至“设置”,选择“隐私、搜索和服务”标签,下拉至 “服务“。关闭“显示微软 Edge 中关注创建者的建议”选择即可。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
微软 Edge bug 导致黑客窃取用户在任意站点的机密信息,颁发2万美元奖金
影响 Chrome、Edge 等浏览器的 V8 引擎0day
微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目
微软 Edge 浏览器被指共享隐私遥测数据
原文链接
https://www.theverge.com/2023/4/25/23697532/microsoft-edge-browser-url-leak-bing-privacy
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~