Privacy a rischio col Win Media Player

A dirlo è un noto esperto di sicurezza che fa notare come alcune versioni del player di Microsoft rendano possibile tracciare gli utenti da parte dei siti Web. Con la complicità di Internet Explorer. Ma l'azienda ribatte


Web – Una tecnologia di identificazione integrata in Windows Media Player (WMP) potrebbe consentire ai siti Web di tracciare gli utenti. A lanciare l’allarme è un noto esperto di sicurezza, Richard M. Smith, che ha dimostrato come sia possibile per un sito Web, attraverso poche righe di JavaScript, impadronirsi del un numero unico identificativo assegnato di default dal WMP ad ogni macchina e inserito nel registro di Windows.

“Ogni sito su Internet può accedere al vostro numero di ID usando un po’ di JavaScript. Questo è un grave problema per la privacy”, ha detto Smith, CEO della società di consulenza Privacy Foundation.

Microsoft si difende sostenendo di aver rilasciato una patch a maggio che permette agli utenti di modificare le impostazioni del WMP in modo che l’ID incriminato non resti fisso ma cambi dinamicamente ad ogni sessione di Internet Explorer: in particolare, a partire dal WMP 6.4 patchato (e tranne la versione 7.0, che va obbligatoriamente aggiornata alla 7.1) sarebbe possibile, secondo il big di Redmond, porre rimedio al problema disabilitando la voce “Consenti ai siti Internet di identificare in modo univoco il lettore multimediale”.

Smith sostiene però che questa opzione risulta ancora attivata di default sia nelle versioni patchate del player sia nella più recente versione 7.1, continuando dunque a rappresentare un grave rischio per quella stragrande maggioranza di utenti che non si preoccupano di modificare le impostazioni avanzate del proprio player.

Quello che è ancora più grave, sostiene Smith, è che questa sorta di “supercookie” che è il numero ID di WMP continua ad essere accessibile anche se si è installata l’ultima versione di Internet Explorer 6.

“Microsoft si è sforzata parecchio di aggiungere a Internet Explorer vari controlli sulla privacy – ha spiegato Smith – ma a quanto pare questa back-door riesce totalmente ad aggirarli”.

Smith sostiene che i siti sono in grado di catturare l’user ID di WMP a causa di una falla nell’interfaccia ActiveX del player, una vulnerabilità che consentirebbe all’ID di essere letto attraverso un comando chiamato “ClientID”.

Questo ID, che Microsoft aveva inizialmente inserito nel WMP per permettere ai fornitori di contenuti di poter disporre di statistiche di accesso e utilizzo, potrebbe in futuro rendersi ancor più necessario come parte del sistema di digital rights management per l’acquisto di musica ed altri contenuti via Internet. A dirlo è Russ Cooper, boss della firma di sicurezza TruSecure, che si è però anche detto speranzoso che nel frattempo Microsoft offra maggiore possibilità di controllo agli utenti in merito a quali siti possono accedere al loro ID.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Situazione deprimente
    Si ci saranno anche problemi "tecnici" ad allargare certe cose ma almeno quei sette domini potevano sceglierli meglio. Cacchio ce ne facciamo di .aero???????????????????
    • Anonimo scrive:
      Re: (OT) Situazione deprimente

      Cacchio ce ne facciamo di .aero???????????????????In linea puramente teorica ci pensate se qualche bella testina si registrasse binladen.aero?Come reagirebbe la comunità internazionale?
      • Anonimo scrive:
        Re: (OT) Situazione deprimente

        In linea puramente teorica ci pensate se
        qualche bella testina si registrasse
        binladen.aero?
        Come reagirebbe la comunità internazionale?
        MHUAHAHAHAHAHAHAHAHAHAH!!!!
      • Anonimo scrive:
        Re: (OT) Situazione deprimente
        Gli riderebbero addosso ovviamente.
  • Anonimo scrive:
    quasi OT: ma ... l'IPV6 ???
    Da moooolti mesi (ormai da qualche ANNO!) sembrava che il numero di possibili indirizzi col sistema attuale (IPV4) si sarebbe dovuto esaurire nel giro di poco tempo.Invece ??Finira' come con l'inquinamento ? Chi abita nel nord dell'Italietta sa' bene di cosa parlo :(
    • Anonimo scrive:
      Re: quasi OT: ma ... l'IPV6 ???
      In Europa il RIPE ha cominciato a chiudere i rubinetti, cioè a non concedere più le classi con la disinvoltura del passato. E così gli A.S. (autonomous system)(leggi quasi Provider) hanno cominciato a fare un uso più razionale di quelli che avevano già in concessione, magari predestinati con un sovrodimensionamento mostruoso ad altre attività.SalutoniLuca--iscritto ad ARCHIBALD:http://www.geocities.com/archibaldti/gruppo di discussioneper la diffusionedelle tecnologie dell'informazione--
Chiudi i commenti