{"id":280209,"date":"2023-04-26T17:51:57","date_gmt":"2023-04-26T15:51:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=280209"},"modified":"2024-01-05T10:27:36","modified_gmt":"2024-01-05T09:27:36","slug":"microsoft-edge-funktion-folgen-bertrgt-wohl-alle-besuchten-webseiten-an-bing-api","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/04\/26\/microsoft-edge-funktion-folgen-bertrgt-wohl-alle-besuchten-webseiten-an-bing-api\/","title":{"rendered":"Microsoft Edge Funktion "Folgen" überträgt wohl alle besuchten Webseiten an Bing-API"},"content":{"rendered":"

\"Edge\"[English<\/a>]Schwerwiegender Verdacht, den jemand berichtet. Der Microsoft Edge-Browser soll die URLs aller vom Nutzer besuchten Webseiten an die API der Microsoft Suchmaschine Bing \u00fcbermitteln. Verantwortlich ist wohl die Funktion \"Folgen\", die nun breiter f\u00fcr die Nutzer ausgerollt wird. Das Ganze l\u00e4sst sich aber abschalten, ist aber erneut ein Beispiel, dass Microsoft sein Zeug nicht im Griff hat und Administratoren auf einer hei\u00dfen Rasierklinge reiten, wenn sie so etwas auf den Benutzer los lassen.<\/p>\n

<\/p>\n

Die Funktion \"Folgen\" im Edge<\/h2>\n

\"\"Microsoft hat 2022 im Edge Canary Channel eine Funktion \"Follow creators\" eingef\u00fchrt (siehe diesen reddit.com-Post<\/a>), \u00fcber die Benutzer den Erstellern von Webinhalten folgen kann. Bei entsprechenden Webseiten wie YouTube blendet der Browser dann ein \"Folgen\"-Symbol in der Adressleiste ein. \u00dcber die Seitenleiste \"Sammlungen\" kann der Benutzer die zu folgenden Webseiten, Themen und Ersteller einsehen, \u00e4ndern und entfernen.<\/p>\n

Folgen \u00fcbermittelt URLs an Bing-API<\/h2>\n

Einem reddit.com-Nutzer ist wohl als erstem aufgefallen, dass die Folgen-Funktion des Edge-Browsers anf\u00e4ngt, alle besuchten URLs an die Bing-API zu \u00fcbertragen. In diesem Post<\/a> beschreibt er das Ganze.<\/p>\n

What is causing Edge to leak all visited URLs following latest update? API is: bingapis.com\/api\/v7\/followweb\/isfollowable ?<\/strong><\/p>\n

\"\"<\/p>\n

GET request includes full url of every page navigate to.<\/p>\n

Searching for References to this url give very few results, no documentation on this feature at all. Json response shows type as \"FollowableStatus\" which yields zero Google results, which is rare.<\/p>\n

Surely I can't be the first to discover this?!<\/p><\/blockquote>\n

Das Ganze wurde dann in diesem reddit.com-Thread<\/a> detaillierter aufgegriffen.<\/p>\n

Edge 122 – Bing now tracking every page you visit<\/strong><\/p>\n

So after finding nothing on the internet about this I did some digging myself:<\/p>\n

The recent Edge Version 112.0.1722.34 and later has made a change to the behaviour of the optional, but on by default Privacy feature: Show suggestions to follow creators in Microsoft Edge.<\/strong><\/p><\/blockquote>\n

Ab der Edge Version 112.0.1722.34 gibt es also die \u00c4nderung, dass die Privatsph\u00e4ren-Funktion \"Show suggestions to follow creators\" (die Vorschl\u00e4ge macht, Erstellern von Inhalten zu folgen) nun standardm\u00e4\u00dfig aktiviert ist. Das hat aber gravierende Konsequenzen, wie der Betreffende weiter ausf\u00fchrt:<\/p>\n

In prior versions, this feature seems to only apply to small subset of websites – I have identified Youtube and Pinterest affected so far. When visiting subpages of this site, the complete URL of the page you are visiting is submitted to Bing as the mediaURL<\/code> parameter using the following GET request:<\/p>\n

www.bingapis.com\/api\/v7\/followweb\/isfollowable?appId=F1E45C4A7B95B48AC3F411C6214F6B861D0C276B&mediaUrl=https:\/\/www.youtube.com\/watch?v=abcedfgh&edgechannel=stable<\/code><\/p>\n

Being restricted to only a few \"social media\" sites, this wasn't a significant concern.<\/p>\n

However, from Version 112.0.1722.34 onwards (at time of writing), the behaviour changed as follows:<\/p>\n

On start of the browser, the following GET request is made:<\/p>\n

www.bingapis.com\/api\/v7\/followweb\/getdomainfilter?appId=F1E45C4A7B95B48AC3F411C6214F6B861D0C276B&edgechannel=stable<\/code><\/p>\n

This returns JSON detail of a number of websites (including YouTube and Instagram), one would think as a \"whitelist\" for the aforementioned behaviour. However, instead, provided this request was successful (it was not blocked by a firewall), then every subsequent visited page<\/strong> is submitted (including any GET key\/vaue pairs, in the format of the first API call mentioned. It doesn't matter if it's a local domain, or even an IP address, the full URL of every site you follow from then on is passed to Bing. This includes any links, logins etc, clicked or otherwise navigated to, not just URLs typed or copied into the navigation bar, as is the well known behaviour of other privacy-invading browser features. I'm not convinced this is intentional behaviour by Microsoft.<\/p><\/blockquote>\n

In Kurzform: Der Edge-Browser \u00fcbertr\u00e4gt die URLs (fast) aller besuchten Webseiten an die Bing-API. The Verge hat das hier<\/a> aufgegriffen und den Entwickler Rafael Rivera befragt. Rivera wird im Artikel so zitiert:<\/p>\n

Microsoft Edge hat jetzt eine \"Creator Follow\"-Funktion, die standardm\u00e4\u00dfig aktiviert ist. Es scheint, dass die Absicht war, Bing zu benachrichtigen, wenn Nutzer auf bestimmten Seiten, wie YouTube, The Verge und Reddit sind. Aber es scheint nicht richtig zu funktionieren und sendet stattdessen fast jede Domain, die man besucht, an Bing.<\/p><\/blockquote>\n

Microsoft hat The Verge auf Nachfrage mitgeteilt, dass man die entsprechenden Berichte untersuche. Das Ganze ist nat\u00fcrlich ein Privatsph\u00e4renproblem, wobei ich aktuell nicht absch\u00e4tzen kann, ob das im Hinblick auf die DSGVO oder die Sicherheit ein Problem ist (z.B. wenn Anmeldedaten in einer URL sind, oder die URL pers\u00f6nliche Daten enth\u00e4lt).<\/p>\n

Folgen im Edge deaktivieren<\/h2>\n

Administratoren sollten in Unternehmensumgebungen die Folgen-Funktion per Gruppenrichtlinie deaktivieren. Es gibt im Edge die EdgeFollowEnabled<\/em><\/a>\u00a0<\/em>Richtlinie (siehe auch<\/a>), die eine Deaktivierung der Funktion erm\u00f6glicht. Erg\u00e4nzung: Bei administrator.de hat jemand hier die GPO-Details<\/a> ver\u00f6ffentlicht. Man kann auch in der Registrierung die Zweige HKLM (systemweit) oder HKCU (Nutzer bezogen) den Registrierungszweig:<\/p>\n

\\SOFTWARE\\Policies\\Microsoft\\Edge<\/p>\n

verwenden und dort den 32-Bit-DWORD-Wert EdgeFollowEnabled <\/em>eintragen. Mit dem Wert 0 sollte der Dienst abgeschaltet sein, mit dem Wert 0x1 wird der Folgen-Dienst aktiviert.<\/p>\n

Alternativ k\u00f6nnen Nutzer in den Edge Einstellungen <\/em>\u00fcber Einstellungen > Datenschutz, Suche und Dienste > Dienste <\/em>die Option Vorschl\u00e4ge zum Folgen von Creator in Microsoft Edge anzeigen<\/em> deaktivieren (siehe<\/a>).<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Schwerwiegender Verdacht, den jemand berichtet. Der Microsoft Edge-Browser soll die URLs aller vom Nutzer besuchten Webseiten an die API der Microsoft Suchmaschine Bing \u00fcbermitteln. Verantwortlich ist wohl die Funktion \"Folgen\", die nun breiter f\u00fcr die Nutzer ausgerollt wird. Das Ganze … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4461,426],"tags":[451,4201],"class_list":["post-280209","post","type-post","status-publish","format-standard","hentry","category-edge","category-sicherheit","tag-datenschutz","tag-edge"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280209","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=280209"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/280209\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=280209"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=280209"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=280209"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}