绿盟安全月刊->第14期->安全新闻 IE安全漏洞引起忧虑

出处：YESKY
日期：2000-10-07

微软本周一宣布公司已经对IE的一个安全漏洞进行了调查，该漏洞可能造成对用户
隐私权的损害。

    引起隐私权争端的核心问题是一种使用户在浏览曾浏览过的网页的时候更加方便的
技术，这种技术成为Persistence（持续），它要在用户的PC里储存网站的信息和以前
的搜索结果及其他具体用户个人资料。

    微软承认，对重视信息安全的用户来说，这种方便性是有代价的。由于这种技术把
浏览中的cookie文件存在PC中，使用这种技术的网站几乎可以识别任何一个经常使用IE
中的对应技术来浏览这个网页的用户IP地址。

    而那些在网上冲浪时避免一切cookie的用户，仍然会因为这种技术而暴露其隐私。

    一些网上冲浪者声称，微软和另外的公司不应该使用能连接交易和因特网遨游习惯
到一特定个人计算机地址的技术。许多隐私团体，包括丹佛的“隐私基金会”
（Privacy Foundation），都断言Persistence技术存在潜在的隐私侵略危险。在一项
就微软软件发出的警告中，“隐私基金会”的主要技术官员Richard Smith说：“如果
使用因特网监视软件追踪个人行为成为趋势，麻烦就大了。”

    然而，微软声称该技术没被误用。微软的Wallent说，使用带有cookies的站点，隐
私风险都会增大。他说，Persistence技术仅会影响一小群关掉cookies并使用特殊软件
匿名上网的人。微软经理们补充道，关闭IE5.0或更高版本上的Persistence技术是可能
的。但是，这样做会很复杂。这要求知道如何发现关上脚本的选项。另外，关掉那些特
别的特征会使某些因特网选择如下拉菜单和电子邮件失效。

    华盛顿电子隐私信息中心（Electronic Privacy Information Center）的政策分
析家Andrew Shen说：“这又是另一个复杂的过程，顾客必须自己弄明白自己的喜好。
消费者们不应该跳过网上所有的障碍来保护他们的隐私。”微软的Wallent说，公司正
在研究是否有一个更容易的方法关掉Persistence技术，以给担心的IE用户更好的控制
这种技术。