研究显示：微软IE 9刚推出 新隐私功能疑现漏洞

CNET科技资讯网 3月22日 国际报道 一家独立的消费者组织Which?所提出的研究显示，Internet Explorer 9 (IE9)之中一项新的隐私功能，可能会让网站看见使用者认为已经被隐藏的资料。

这项新的追踪保护(Tracking Protection)功能需要靠使用者选择追踪保护清单(TPL)，该清单是使用者希望阻挡厂商通过cookie与网站信标(web beacon)来追踪个人行为的黑名单。网站信标通常是内嵌在页面中的透明小图像，目的是为了追踪行为。

IE9的使用者可以从Abine、EasyList、TRUSTe与PrivacyChoice等网站下载更多TPL。同时也可以建立自己定义的清单。然而，Which?报告指出，它已经发现一项行为冲突，使得即使网站在另一份安装的清单中被限定了“阻挡”指令，但因为冲突关系会让浏览器自动设定成“允许”的网站。

这份研究发现，当使用者下载了多个TPL之后，所有的TPL都会被群组成单一清单，而“允许”的权限优先于“阻挡”。例如，消费者可能会选择安装两个TPL：一个由EasyList下载的，另一个由TRUSTe下载的。EasyList TPL可能会“阻挡”网站信标，但TRUSTe TPL可能会“允许”。在此情形下，网站信标将会被“允许”。这可能会导致安装了多个清单的使用者会有感觉很安全的错觉，Which?资深政策顾问Rob Reid表示，微软尚未对该问题表示评论，但坦承Which的发现确有其事。

IE企业副总裁Dean Hachamovitch认为使用者的主要角色是选择他们信任的清单，但是Reid表示这样并不够。“要求使用者了解与应用跨多个TPL的阻挡与允许规则，对于只是要避免被追踪来说，实在过于复杂”，Reid指出，“我们也担心TPL缺乏监控会导致因为误用而造成系统漏洞。”

斯坦福大学的“Do Not Track”计划领导研究人员Jonathan Mayer表示，“TRUSTe TPL会‘允许’来自Acxiom的内容，而它是一家大型的资料搜集厂商。如果你不想要被追踪，就不该安装会允许Acxiom进行追踪的清单。”

Firefox 4

Mozilla的Firefox 4网络浏览器预定在3月22日发布，它也推出了Do Not Track隐私功能，使用的不是黑名单的方式，而是以页面的标头信息的方式告知广告商该使用者不想被追踪。然后就得看广告商是否会买单。

Mozilla全球隐私与公共政策领导人Alexander Fowler表示，“标头技术的优点是使用上较简单，而且比cookie的方式更具有一致性，使用者也不需寻找与载入广告网络与广告商的清单就能运作。”

然而，Fowler坦承它会有“鸡生蛋, 蛋生鸡”的状况，因为这项技术必须仰赖浏览器与网站都有建置才能生效。