详解Win10 Edge浏览器被吐槽发送用户访问过的站点的完整URL

当前随 Windows 10 预装的 Microsoft Edge 浏览器，已被某安全研究人员锤爆，称其会向该公司发送用户访问过的站点的完整 URL 。更糟糕的是，数据中不仅包含了网页信息，还有安全标识符（SID）。该安全研究人员发推称：“除了一些热门的攒点，Edge 显然会将用户访问的页面的完整 URL 信息发送给微软，甚至还有非匿名的账户 ID（SID）”。

据悉，微软使用 SmartScreen 功能来保护用户免受潜在的危险网站攻击。

其原理是根据微软维护的一份报告连接，将用户当前访问的页面信息（网站 URL）提交给微软的服务器去分析。

然而其发送的信息（包括 SID）并未经过哈希加密，微软在官方文档中写到：

SID 是某个安全主体的唯一标识符，可由操作系统进行任何实体的身份验证，例如用户计算机账户、或安全相关的上下文进程 / 线程。

理论上，通过包含在报告中的 SID 标识符，微软就可以明确知晓谁在 Windows 10 中启用了 SmartScreen、并访问了哪些内容。默认情况下，Edge 的 SmartScreen 设置是会给出“警告”的。

在推特上有研究人员称收集用户信息的主要是微软的防护组件 ，这个防护组件也就是 SmartScreen 筛选器。这个筛选器其实不仅在 Microsoft Edge 浏览器上使用 ，其实很早很早微软就在IE浏览器中部署这个筛选器。筛选器的作用主要是帮助用户拦截各类有害信息，主要包括钓鱼网站、诈骗网站以及存在病毒的其他文件等。

为此微软收集用户访问的所有网址、下载的所有文件、同时还包括用户安全主体的标识符以及账户标识符等。利用安全标识符和账户标识符微软能够识别用户是否开启筛选器、访问哪些内容、在必要的时候提醒用户们。

然而微软在隐私声明中承认，某些信息确实已提交给该公司，以便为 SmartScreen 提供后续支持，因为这就是该功能的工作原理。

该公司写道：“在检查文件时，相关数据会被发送给微软，包括文件名、文件内容的哈希值、下载路径、以及数字证书”。对此，研究人员建议使用类似于其它浏览器的方法，来改进 Windows 操作系统。

Firefox、Chrome 和 Safari，都不会将用户的浏览历史记录发送至云端。它们只是比较 4 字节的 URL 哈希值前缀，以及下载的坏的哈希散列表。

遗憾的是，截止发稿时，微软方面尚未就此事置评。