パスワードを忘れた? アカウント作成
16574523 story
プライバシ

Microsoft Edge、デフォルトでほぼすべてのアクセス先URLをBing APIに送信 47

ストーリー by headless
全送 部門より
Microsoft Edge ではコンテンツ作成者のフォロー機能を利用できるが、この機能がアクセス先ほぼすべてのフル URL をデフォルトで Bing API に送信しているようだ (The Verge の記事Neowin の記事On MSFT の記事)。

問題が発生しているのはフォロー可能なコンテンツ作成者を特定するため、ウェブページへのアクセスを bingapis.com に送信する機能だ。Reddit ユーザーが発見したところによれば、以前のバージョンでは特定ドメインまたはページに限って送信されていたが、バージョン 112.0.1722.34 以降ではほぼすべてのページが送信されるようになったという。

The Verge によれば Bing API にはドメインや URL パターン別にデータ収集の有無を指定する数十件のフィルターリストが用意されているが、実際にはアクセス先 URL で未チェックのものがすべて送信されてしまうようだ。The Verge の依頼で調査を行ったソフトウェアエンジニアの Rafael Rivera 氏は意図したとおりに動作していない可能性を指摘している。

Bing API への送信はデフォルトで有効になっているが、Microsoft Edge の設定画面で「プライバシー、検索、サービス」の「Microsoft Edge で作成者をフォローできる修正候補を表示する」をオフにすれば一切送信されなくなる。Microsoft は問題を認識して調査を行っているとのことだが、修正完了までこのオプションをオフにしておくといいだろう。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by jizou (5538) on 2023年04月29日 16時06分 (#4452390) 日記

    コンテンツ作成者のフォロー機能 っていうのが、どういう実装になっているのかいまいちよくわからない....
    Bing検索で関係のありそうな更新情報が出たら表示してくれるんだろうか。

    この手の補完機能は、ネットが細くなるとけっこう速度に聞いてくるので、
    どのブラウザでもみんなOFFにしてます。
    便利だと思ったことがない。

    アクセス履歴で問題なのが、社内のサイト情報までみんな外に出ていくようだと
    いやらしいなと思いますが。

  • Edge無効化させてほしい (スコア:0, すばらしい洞察)

    by Anonymous Coward on 2023年04月29日 12時21分 (#4452308)

    Webviewが独立して存在するんだからブラウザとしてのEdgeを排除する選択肢が欲しい

    • by Anonymous Coward

      コマンドでのアンインストールはできるみたいだけど。

      デフォルトブラウザを排除するのは一般用のOSデザインとしては許容できないんじゃないかな。

      • by Anonymous Coward

        macOSもChromeOSもそうだな。

        • by Anonymous Coward

          ChromeOSを他と一緒にするのはさすがにちょっと…。明らかに必要不可欠じゃん

    • by Anonymous Coward

      立ち上がらなくさせるだけなら

      C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exeをACLで実行禁止にすればいいのでは?

      グループポリシーだとHOMEじゃできないがこれなら管理権限だけでいける

      # アップデートで取り消されちゃうならディレクトリ以下丸ごとで

  • by Anonymous Coward on 2023年04月29日 13時04分 (#4452325)

    収益の柱

    • by Anonymous Coward

      そのうちチップ埋め込まれちゃいますよ

      • by Anonymous Coward

        中川さんがそんなこと言ってたっけ。そろそろ実現しそう。

    • by Anonymous Coward

      ゲイ2人の仕業

  • by Anonymous Coward on 2023年04月29日 14時27分 (#4452359)

    Chromeやgmailで

    • by Anonymous Coward

      今でもGmailは

      https://www.google.com/url?q=ここにアクセス先のURL&source=gmail&ust=ユーザID&usg=乱数&rct=i

      のURLを一度踏ませてスパイしてるな

      • by Anonymous Coward

        gmailが受信された段階ですでにぐぐるには知られているURLなので、まあこのくらい(実際にいつ何を踏んだか)は教えてやっていいかと思ってる
        q= は暗号化されたりはしてないので、嫌になったら串に直させることはできる

        • by Anonymous Coward

          > 串に直させることはできる

          HTTPS通信の内容に串は介入できないのでは?

          • by Anonymous Coward

            ふつうはできる。ほとんどの通信はhttpsなんだから。

            • by Anonymous Coward

              詳しく説明してくれると嬉しいな。

              • by Anonymous Coward

                横から失礼

                向きによってフローが違うが、クライアント発信のHTTPS復号は概ね下記のようなフロー

                1. AD などから証明書をパソコンに撒いて、信頼された証明機関などに突っ込む
                2. パソコン→プロクシ間は撒いた証明書(もしくはそのチェーン)で復号
                3. プロクシ→サーバー間はサーバーの証明書を利用

                実体としてプロクシサーバーがある場合と
                ファイアウォールなどのL3で実装している場合がある。

                ウイルス対策や、DLP、IPS、WAFなどのため、
                境界防御では普通に使われていると思うが・・・

                FWなど
                https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides... [fortinet.com] (PDF注意)

      • by Anonymous Coward

        ブラウザの拡張で自動変換してスパイ防いでるな。

        #chrome.webRequest.onBeforeRequest.addListener()

        • by Anonymous Coward

          それManifest V3で廃止されたAPIだけど今後はどうするの?

    • by Anonymous Coward

      あの有名な大富豪のスパイですか?

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...