Обновление к предполагаемым сообщениям и проблемам безопасности в связи с поведением положения мыши
Последние несколько дней мы получали сообщения о неправильной обработке браузером положения мыши. Майкрософт тесно сотрудничает с другими компаниями над проблемой положения мыши. Насколько нам сейчас известно, она связана скорее с конкуренцией между аналитическими компаниями, чем с безопасностью или конфиденциальностью пользователей.
Мы активно трудимся над регулировкой этого поведения в IE. В других браузерах есть схожие возможности. Аналитические фирмы ожидают, что смогут определять точку зрения так же, как они делают это в других браузерах. Мы будем обновлять этот блог по мере поступления новой информации.
Рекламодатели в Интернете запустили смену (ссылка) «от "обслуживаемого" представления к "обозреваемому"». Многие другие аналитические компании присоединились к конкуренции в этой сфере. Эта конкуренция принесла массу общественных результатов, включая судебные иски (ссылка). Одна из компаний, работающих в этой области, — Spider.io недавно сообщила о проблеме в IE, в частности связанной с информацией о положении указателя мыши. Spider.io занимается рекламной аналитикой. В недавней записи блога, «Существуют два способа просмотра рекламы. Только один из них правильный», четко изложена их позиция. Разные аналитические компании используют разные равноценные методы сбора клиентской информации с разных браузеров на разных устройствах.
Единственное описанное активное использование этого поведения привлекает конкурентов к тому, как Spider.io проводит аналитику. Команда безопасности Майкрософт обсуждала с исследователями в этой сфере теоретическое использование этого поведения для угрозы безопасности или конфиденциальности пользователей. Мы очень серьезно относимся к этим рискам. Сложно представить, как сложить все кусочки мозаики — размещение рекламы на сайте, требующем входа, пользователь, использующий экранную (или виртуальную) клавиатуру, то, как работает эта экранная клавиатура, — чтобы извлечь пользу из этого поведения. Исследуя специфическое поведение, когда данные о положении мыши видны вне окна браузера, сайты могут оценивать только состояние мыши. Они не могут видеть, с каким именно контентом взаимодействует пользователь. По результатам общения с исследователями безопасности в этой сфере, мы не видим в настоящее время значительного риска для пользователей. Как мы говорили ранее, нет зафиксированных случаев, когда информация какого-либо пользователя была подвергнута опасности.
― Дин Хачамович (Dean Hachamovitch), корпоративный вице-президент, Internet Explorer
Обновление:
Со времени публикации нашей записи — эти дополнительные блоги о безопасности разместили хороший сбалансированный обзор этой темы: Практическая разведка: пищащая мышь и Spider.io предупреждает о бреши в безопасности IE, законно ли это?