Microsoft Edge Funktion "Folgen" überträgt wohl alle besuchten Webseiten an Bing-API

Edge[English]Schwerwiegender Verdacht, den jemand berichtet. Der Microsoft Edge-Browser soll die URLs aller vom Nutzer besuchten Webseiten an die API der Microsoft Suchmaschine Bing übermitteln. Verantwortlich ist wohl die Funktion "Folgen", die nun breiter für die Nutzer ausgerollt wird. Das Ganze lässt sich aber abschalten, ist aber erneut ein Beispiel, dass Microsoft sein Zeug nicht im Griff hat und Administratoren auf einer heißen Rasierklinge reiten, wenn sie so etwas auf den Benutzer los lassen.


Anzeige

Die Funktion "Folgen" im Edge

Microsoft hat 2022 im Edge Canary Channel eine Funktion "Follow creators" eingeführt (siehe diesen reddit.com-Post), über die Benutzer den Erstellern von Webinhalten folgen kann. Bei entsprechenden Webseiten wie YouTube blendet der Browser dann ein "Folgen"-Symbol in der Adressleiste ein. Über die Seitenleiste "Sammlungen" kann der Benutzer die zu folgenden Webseiten, Themen und Ersteller einsehen, ändern und entfernen.

Folgen übermittelt URLs an Bing-API

Einem reddit.com-Nutzer ist wohl als erstem aufgefallen, dass die Folgen-Funktion des Edge-Browsers anfängt, alle besuchten URLs an die Bing-API zu übertragen. In diesem Post beschreibt er das Ganze.

What is causing Edge to leak all visited URLs following latest update? API is: bingapis.com/api/v7/followweb/isfollowable ?

GET request includes full url of every page navigate to.

Searching for References to this url give very few results, no documentation on this feature at all. Json response shows type as "FollowableStatus" which yields zero Google results, which is rare.

Surely I can't be the first to discover this?!

Das Ganze wurde dann in diesem reddit.com-Thread detaillierter aufgegriffen.

Edge 122 – Bing now tracking every page you visit

So after finding nothing on the internet about this I did some digging myself:

The recent Edge Version 112.0.1722.34 and later has made a change to the behaviour of the optional, but on by default Privacy feature: Show suggestions to follow creators in Microsoft Edge.

Ab der Edge Version 112.0.1722.34 gibt es also die Änderung, dass die Privatsphären-Funktion "Show suggestions to follow creators" (die Vorschläge macht, Erstellern von Inhalten zu folgen) nun standardmäßig aktiviert ist. Das hat aber gravierende Konsequenzen, wie der Betreffende weiter ausführt:


Anzeige

In prior versions, this feature seems to only apply to small subset of websites – I have identified Youtube and Pinterest affected so far. When visiting subpages of this site, the complete URL of the page you are visiting is submitted to Bing as the mediaURL parameter using the following GET request:

www.bingapis.com/api/v7/followweb/isfollowable?appId=F1E45C4A7B95B48AC3F411C6214F6B861D0C276B&mediaUrl=https://www.youtube.com/watch?v=abcedfgh&edgechannel=stable

Being restricted to only a few "social media" sites, this wasn't a significant concern.

However, from Version 112.0.1722.34 onwards (at time of writing), the behaviour changed as follows:

On start of the browser, the following GET request is made:

www.bingapis.com/api/v7/followweb/getdomainfilter?appId=F1E45C4A7B95B48AC3F411C6214F6B861D0C276B&edgechannel=stable

This returns JSON detail of a number of websites (including YouTube and Instagram), one would think as a "whitelist" for the aforementioned behaviour. However, instead, provided this request was successful (it was not blocked by a firewall), then every subsequent visited page is submitted (including any GET key/vaue pairs, in the format of the first API call mentioned. It doesn't matter if it's a local domain, or even an IP address, the full URL of every site you follow from then on is passed to Bing. This includes any links, logins etc, clicked or otherwise navigated to, not just URLs typed or copied into the navigation bar, as is the well known behaviour of other privacy-invading browser features. I'm not convinced this is intentional behaviour by Microsoft.

In Kurzform: Der Edge-Browser überträgt die URLs (fast) aller besuchten Webseiten an die Bing-API. The Verge hat das hier aufgegriffen und den Entwickler Rafael Rivera befragt. Rivera wird im Artikel so zitiert:

Microsoft Edge hat jetzt eine "Creator Follow"-Funktion, die standardmäßig aktiviert ist. Es scheint, dass die Absicht war, Bing zu benachrichtigen, wenn Nutzer auf bestimmten Seiten, wie YouTube, The Verge und Reddit sind. Aber es scheint nicht richtig zu funktionieren und sendet stattdessen fast jede Domain, die man besucht, an Bing.

Microsoft hat The Verge auf Nachfrage mitgeteilt, dass man die entsprechenden Berichte untersuche. Das Ganze ist natürlich ein Privatsphärenproblem, wobei ich aktuell nicht abschätzen kann, ob das im Hinblick auf die DSGVO oder die Sicherheit ein Problem ist (z.B. wenn Anmeldedaten in einer URL sind, oder die URL persönliche Daten enthält).

Folgen im Edge deaktivieren

Administratoren sollten in Unternehmensumgebungen die Folgen-Funktion per Gruppenrichtlinie deaktivieren. Es gibt im Edge die EdgeFollowEnabled Richtlinie (siehe auch), die eine Deaktivierung der Funktion ermöglicht. Ergänzung: Bei administrator.de hat jemand hier die GPO-Details veröffentlicht. Man kann auch in der Registrierung die Zweige HKLM (systemweit) oder HKCU (Nutzer bezogen) den Registrierungszweig:

\SOFTWARE\Policies\Microsoft\Edge

verwenden und dort den 32-Bit-DWORD-Wert EdgeFollowEnabled eintragen. Mit dem Wert 0 sollte der Dienst abgeschaltet sein, mit dem Wert 0x1 wird der Folgen-Dienst aktiviert.

Alternativ können Nutzer in den Edge Einstellungen über Einstellungen > Datenschutz, Suche und Dienste > Dienste die Option Vorschläge zum Folgen von Creator in Microsoft Edge anzeigen deaktivieren (siehe).


Anzeige

Dieser Beitrag wurde unter Edge, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

48 Antworten zu Microsoft Edge Funktion "Folgen" überträgt wohl alle besuchten Webseiten an Bing-API

  1. Anonymous sagt:

    in der DE GPO heißt der Eintrag: "Folgen-Dienst im Microsoft Edge aktivieren"

    • Günter Born sagt:

      Danke für die Ergänzung

    • Florian Seip sagt:

      Hinweis hierbei: Es ist mit Anführungszeichen geschrieben, d.h. bei der Sortierung der GPO Einstellungen nach Namen ganz oben bzw. unten zu finden.
      „Folgen"-Dienst in Microsoft Edge aktivieren
      Habe gerade den Wald vor lauter Bäumen nicht mehr gefunden ;)

      Der Eintrag ist abgelegt unter
      Benutzerkonfiguration\Administrative Vorlagen\Microsoft Edge\
      und
      Computerkonfiguration\Administrative Vorlagen\Microsoft Edge\

  2. Chris sagt:

    Vielen Dank.
    Normalerweise nutze ich den Edge nicht. Jedoch ist es eine Schweinerei, dass man in regelmäßigen Abständen nach neuen Optionen zum Datenabfluss schauen muss.

    Bei mir waren die "Folgen" Optionen natürlich aktiviert. :(

    • Luzifer sagt:

      Ist doch bei Microsoft Produkten (also für Datensensitive Personen) schon immer so das man nach Updates erstmal alle Einstelllungen durchgehen muss um zu schauen ob Microsoft mal nicht wieder dem eigenen Userwunsch ignoriert! Das war zu XP Zeiten schon so! Deswegen gab es auch schon seit dieser Zeit so Tools wie XP Antispy oder jetzt halt für W10/W11 O&O Shutup oder W10 Privacy… *** Aussage wegen Herabwürdigung gelöscht ***

      Ist damit nach nem Update auch locker in unter 5 Minuten erledigt.

      • Charlie sagt:

        Sollte standardmäßig dennoch ausgeschaltet sein.
        Vor allem wenn es dem "einfachen" Nutzer unbekannt ist oder die Umsetzung überfordert.

        Davon ab: Was sollen die Beleidigungen oder Herabwürdigungen anderer Nutzer? (dumb User). Und 5min mal 1000 Leute mal 10 Fälle sind 50.000 Minuten oder 833 Stunden oder 34 Tage die Mal eben so weg sind für so einen Mist.
        Unabhängig davon: Wer kontrolliert was die genannten Tools nebenbei machen? Blind Vertrauen ist auch keine Lösung.

        • Luzifer sagt:

          das hat nix mit ner Beleidigung zu tun. Es gibt eben smart User die wissen und verstehen was sie tun / nutzen und dumb User die einfach nur blind nutzen ohne wissen / zu verstehen was sie tun. Einfach eine Beschreibung der Tatsachen. Ist wie KI die its auch nicht wirklich "intelligent"…

          Klar muss man den Tools nicht blind vertrauen, aber was die tun kannst du im Detail ja selbst nachvollziehen indem du einfach nen Logger mitlaufen läßt, dann siehst du schwarz auf weis was und wo sie ändern!

          Deine Zeitrechnung ist auch wieder nur "Milchmädchenrechnung" was interssiert mich was andere zusätzlich an Zeit insgesamt aufwenden? für mich sind das keine 5 Min wenn ich die Einstellungen händisch durchgehe und kein 10sek. wenn ich die OneKlick Version nutze. Die hab ich allemal Zeit nach nem Update wenn mir meine Sicherheit / Privatsphäre was wert ist!

          • Luzifer sagt:

            /edit/
            klar wäre es schön wenn man das erst gar nicht müsste. Träum weiter die Welt ist kein Ponyhof!

            Du bist selbst Verantwortlich für dein handeln und da man das alles schon seit Jahrzehnten weis, gibt es da auch nix rauszureden. Wird ja auch in jeem Magazin immer und immer wieder breitgetreten.

          • Günter Born sagt:

            Ich habe jetzt einige Aussagen in Texten, die in Richtung "Herabwürdigung von Lesern" gehen, in den Kommentaren gelöscht. Bitte da künftig etwas zurückfahren – danke.

    • Webmasta sagt:

      Normalerweise würde man sich vorstellen, dass ein Amt wie z.B. das BSI sowas erkennt und die Öffentlichkeit breit informiert. Gibt es dazu was?

      • Dat Bundesferkel sagt:

        Deren letzte Cyber-Sicherheitswarnung ist vom 05.04.2023 (Stand 27.04.2023, 13:22).

        Ansonsten geht's eher Richtung: "Ei gugge mal, wir haben neue Certs zu empfehlen.".

        Auch bezüglich Sicherheitsproblemen ist das BSI die letzte Einrichtung, die ich aufsuche (deren RSS-Feed hing lange zeit fast eine Woche hinterher, da hatte ich die Infos schon von Hein Daddels munterem Privat-Blog).

  3. Tom. sagt:

    Ich würde sagen "Close to the Edge"……

  4. Helmut sagt:

    Noch ein Grund das Geschwurbel zu ignorieren und klein zu halten. Wenn ich es schon nicht deinstallieren kann dann soll es versauern. Ich mach einen grossen Bogen um Edge und nutze nur noch den FF portable.

    • R.S. sagt:

      Den Edge kann man sehr wohl deinstallieren.
      Auf meinem Win10-Rechner existiert kein Edge mehr.

      • Hummel sagt:

        bist du dir da sicher?
        Ohne Edge würde dein Windows gar nicht mehr gescheit funktionieren.
        Das war mit dem Internet Explorer genauso.
        Oder benutzt du den Rechner nach der "Deinstallation" nicht mehr?
        Gruß

        • R.S. sagt:

          Ich benutze natürlich den Rechner noch, funktioniert einwandfrei. Schreibe gerade diesen Text damit.
          Browser ist der Firefox, BS ist Win 10 22H2.
          Ich habe den Edge schon vor längerer Zeit entfernt, konnte keinerlei Einschränkungen oder Probleme feststellen.

        • Luzifer sagt:

          naja du kannst den "Aufsatz" Edge deinstallieren, den "Unterbau" Edge wirst du nicht los!

      • Helmut sagt:

        Klar hatte ich auch schon gemacht, bis zum Patchday im Januar. Da kam er plötzlich wieder, nach der Installation der Updates startete Windows 10 zwei mal hintereinander neu und da war er wieder. Seit dem ignoriere ich den Fraggl.

    • Luzifer sagt:

      naja man muss beim FF ebenso aufpassen ;-P nicht ganz so schlimm wie bei Microsoft, aber auch die tun es.

  5. Markus S. sagt:

    Weiß jemand, wofür bingapis.com noch benutzt wird? Ich könnte sonst die Domain an localhost am DNS hinschicken lassen.

  6. Herr IngoW sagt:

    Die Funktion gibt es schon länger, habe ich schon immer deaktiviert.
    Eigentlich ist alles unter "Dienste" deaktiviert.

  7. Jackie sagt:

    In einer URL sollten keine Anmeldedaten oder personenbezogenen Daten vorkommen. Kann man so auch in einem Leitfaden zur Software- bzw. App Entwicklung aus dem Jahr 2014 einer deutschen Behörde nachlesen! Wenn es sogar die schnallen sollte es eigentlich wirklich jeder besser wissen!

    • Luzifer sagt:

      Bis auf die Software Entwickler, da es für Software ja keine Produkthaftung gibt, interessiert (die meisten) Software Entwickler solche Vorgaben nicht mal den Dreck unter dem Fingernagel!

      Kannst ja zum Beispiel hier regelmäßig nachlesen.
      Beamte sind langsam von Begriff aber nicht lernresident, Entwickler dagegen schon.

      • Jackie sagt:

        Das würde ich gar nicht mal so sagen. Die Entwickler selber sind meiner Erfahrung nach durchaus offen für solche Hinweise. Man muss diese nur auch in brauchbarer Form an sie herantragen. Juristensprache ist da halt nicht sehr hilfreich. Meisst kommt aber gar nicht erst an die Entwickler ran. Vor allem sind die Dank Sales und unrealistischer Termine meisst völlig am Limit und Marketing ist dann ja oft der Meinung das das Wichtigste der Welt die Farbe der Buttons ist. Das Management ist der Meinung das Schulungen eh zu teuer und unnötig sind und außerdem zählt nur der Gewinn des Unternehmens. Die Geschäftsleitung versteht das Problem eh nicht. Um ein extrem vielschichtiges Problem mal kurz auf Stammtischniveau zu reduzieren ;)

        • Luzifer sagt:

          naja das mag durchaus auf einige zutreffen … die Entwickler die ich kennen lernen durfte juckt das gar nicht, weil das keine Entwickler sind die noch echte Programmiersprachen von der Pike auf gelernt haben, sondern jeder durchs Dorf getriebenen Sau hinterherhecheln … sauber und verantwortungsvoll proggen? Pustekuchen juckt ja eh kein Schwein.

          Tja und die jucken mich nicht die sind nicht lange in der Firma ;-P Den in meiner Branche könnte ich dann bald dicht machen!

  8. Andy (007 aus Wien) sagt:

    Wir brauchen eine Sonderkommission Microsoft.

    Die Soko Microsoft muss alle administrativen Möglichkeiten ausschöpfen.

  9. McAlex777 sagt:

    Tja, 200 +1GPO um Datenschutz zu aktiveren unter Windows.
    Ich sehe gesetzlichen Handlungsbedarf.

  10. DavidXanatos sagt:

    cd %PROGRAMFILES(X86)%\Microsoft\Edge\Application\xxx\Installer

    setup.exe –uninstall –system-level –verbose-logging –force-uninstall

    und der MS Edge war ein mal

  11. Karl sagt:

    Apple-Insider: Apples neue Version von MacOS "Blister" sendet alle URLs besuchter Webseiten oder anderer Dienste, die auf die neue, revolutionäre Browserengine Kalahari aufsetzen, an die eigene neue Suchmaschine "Mother". Die Suchmaschine bietet auch die Suche mit einer neuen AI an, die natürliche Sprache als Input verarbeitet. Das Feature kann über die Einstellung Convenience/User Experience/Custom/FollowMe deaktiviert werden. Apple rät intern aber davon ab, weil es beim nächsten Update ohnehin wieder eingeschaltet werden würde.

  12. Ute sagt:

    Microsoft Edge Version 112.0.1722.58 (Offizielles Build) (64-Bit)
    -> bei mir ist die Folgen funktion nicht verfügbar, sollte aber doch ab Version .34 da sein?

    Verfügbar unter Dienste:
    Dienste
    -Webdienst zum Beheben von Navigationsfehlern verwenden
    -Ähnliche Websites vorschlagen, wenn eine Website nicht gefunden wird
    -Sparen Sie Zeit und Geld mit Shopping in Microsoft Edge
    -Erhalten Sie Benachrichtigungen über ähnliche Dinge, die Sie mit Discover erkunden können.
    -Adressleiste und Suche
    –Such- und Websitevorschläge mit den eingegebenen Zeichen anzeigen
    –Vorschläge aus Verlauf, Favoriten und anderen Daten auf diesem Gerät unter Verwendung meiner eingegebenen Zeichen anzeigen

    • PierreH sagt:

      …ich habe den Edge mal nach langer Zeit wieder gestartet, gerade wegen der "FolgenFunktion" Sie ist unter Dienste verfügbar aber hell unterlegt und nicht änderbar! Edge Version 112.0.1722.58

  13. Seita sagt:

    Hier kann man sehen was der Edge so treibt:
    und @ G.Born ich hoffe das der Link erlaubt ist.

    Microsoft Edge: Datensendeverhalten Desktop-Version – Browser-Check Teil4

    Ist von 2021.

  14. Anonymous sagt:

    Für den Fall der Fälle, dass Menschen hier unsicher sind, wie die Option/Funktion jetzt im deutschprachigen vollständig heißt, die hier wohl der Übeltäter ist:

    "Vorschläge zum Folgen von Creator in Microsoft Edge anzeigen"

    Das "Ausschalten" führt zu gleich zum Deaktivieren der darunter liegenden Option/Funktion

    "Lassen Sie sich benachrichtigen, wenn Creator, denen Sie folgen, neue Inhalte posten"

    scheint davon abhängig zu sein und wird damit auch gleich deaktiviert.

    Ich war etwas verunsichert, da ich den Edge nur selten verwenden (muss). Des Weiteren musste ich mich schon eine Weile nicht mehr mit GPOs und ihren umständlichen Übersetzungen beschäftigen.

  15. Steter Tropfen sagt:

    Verständnisfrage: Bei nahezu allen aktuellen Browsern, z.B. Firefox, gilt ja die Doktrin „Adresszeile = Suchzeile". Und Suchanfragen werden – schon beim Eintippen – an die als Standard eingestellte Suchmaschine (und das ist beim ach so freien Firefox peinlicherweise Google) übermittelt. Damit geht doch auch jede URL, die man dort eingibt, an Google. Was ist jetzt da beim Edge anders, außer dass der Empfänger Bing heißt?

    • Günter Born sagt:

      Wenn ich eine URL eintippe, sollte der Browser nicht suchen, sondern die Seite direkt über das DNS auflösen und anzeigen. Darum geht es imho.

      • Steter Tropfen sagt:

        Ich bin nur nicht sicher, dass der Browser nicht trotzdem wenn irgend möglich mit Google kommuniziert.
        Man wird jedenfalls auffallend penetrant dazu genötigt, die Unterscheidung zwischen Adresse und Suchanfrage fallen zu lassen: Um die Suche via Adresszeile abzustellen, reicht das Einstellungs-Interface jedenfalls nicht aus, es braucht noch ein paar Änderungen in der about:config, bis die Adresszeile endlich die Sucherei unterlässt. Andernfalls werden Eingaben ins Adressfeld weiterhin als Suchanfrage interpretiert. Vielleicht/noch nicht, solange man brav das „https://www." vor jede Adresse tippt. Aber wenn man einfach (wie immer mehr üblich) einen ungefähren Seitennamen eingibt, schreibt man direkt an Google, das einen dann weitervermittelt, ohne dass es auffällt. Man denkt dann, der Browser hätte die Adresse selbst vervollständigt.

        Der Aufschrei kommt also ein bisschen spät: Dass Seitenaufrufe an die Datenkraken weitergemeldet werden, ist längst Trend. Nun will eben Bing auch ein Stück von diesem Datenkuchen haben.

        • Karl sagt:

          > Aber wenn man einfach (wie immer mehr üblich) einen ungefähren Seitennamen

          Ich bitte doch sehr. Ein "ungefährer" Seitenname, das ist wirklich ernst gemeint?
          Die Erkennung, ob da eine URL steht oder nicht, erfolgt durch … die Formatierung (FQDN) und Abgleich erlaubter TLD. def.tgz wird als Suchbegriff interpretiert, weil es keine TLD "tgz" gibt.
          TLDs def.tv wird dagegen als URL interpretiert, weil, eben.
          Das www wird ohnehin bei WWWebadressen und Browser implizit davorgesetzt. Will man was anderes muss man das explizit schreiben.
          "Ungefähre Adressen" können in natürlicher Sprache funktionieren, sonst nicht. Aber auch da landen sie in der Maier Straße, wenn sie "Myer" nicht buchstabieren. Oder sie googeln den Taxifahrer.

    • Markus.M sagt:

      Wenn ich eine Eingabe in die Adresszeile schreibe, rechne ich schon damit, dass eine Suchanfrage an Google geht. Das gilt doch aber nicht, wenn ich einen Link anklicke. In dem Fall gibt es keine Eingabe, die Anfrage sollte über DNS gehen und weder Google noch Bing haben damit zu tun. Dieser Bug im Edge betrifft aber doch jede abgesendete URL, ob Eingabe, Copy-Paste, Lesezeichen oder Link – alles geht an Bing.

  16. Seita sagt:

    Beim FireFox ist das festlegen einer anderen Suchmaschine null problemo.

    1. In den Einstellungen "Suche" die Standardsuchmaschine seiner Wahl festlegen.(bei mir Startpage)
    2. In den Einstellungen "Suche" die Suchvorschläge deaktivieren
    3. In dem Einstellungen " Datenschutz und Sicherheit" Adressleiste nur die Suchmaschine markieren.

    Dauert nicht einmal ne Minute.Und fertig.
    Da muß man nicht in about:config was einstellen/ändern.

  17. Anonymous sagt:

    Version 112.0.1722.64: April 27, 2023
    Fixed various bugs and performance issues for Stable and Extended Stable release.

  18. Anonymous sagt:

    Ich finde die Einstellung auf mehreren Win 10 und Win 11 Clients im Edge in den Versionen 112.0.1722.58 und 112.0.1722.64 nicht. Gibt es die Funktion für verwaltete Browser vielleicht nicht? Per Richtlinie werde ich die Funktion dennoch deaktivieren, das war ohnehin ein Versäumnis diese nicht zu deaktivieren.

  19. MWC sagt:

    Klingt nach einem AnzeigeBug:
    Wenn man entweder das genannte GPO Setting setzt (disabled)
    Oder den Policy Eintrag mit 0 x 0 versieht

    Dann erscheint in Edge die Option als "ausgewählt"… und nicht veränderbar.
    Great MS!

  20. Markus.M sagt:

    Als Privatperson darf man das sehen wie man will, ob jeder für sich selbst verantwortlich ist und ob ein Browser oder ein Betriebsystem by default alles irgendwohin schicken darf, aber im Business-Umfeld darf so etwas nicht passieren. Es DARF nicht passieren. Andererseit, dass Admins in der Haupttätigkeit beschäftigt werden, MS-Produkte über GPO, Powershell und Firewall zurechtzustutzen, ist bereits Realität. Merkt man eigentlich, wenn man so drüber nachdenkt, dass das nicht so sein sollte, oder?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.