Microsoft annonserte nylig at den kommende Internet Explorer 7 vil inneholde det selskapet kaller Microsoft Phishing Filter, et filter som skal forhindre at brukeren blir narret av forfalskede websider. Selv om dette vil konkurrere med en rekke tredjepartsprodukter, er det ikke filteret i seg s elv som er kontroversielt, men i stedet måten filteret vil fungere.
De fleste filtre av denne typen laster jevnlig ned en liste over adresser til kjente svindelnettsteder, mange ganger også lister over mye brukte nettsteder som man kan gå god for at ikke driver med denne typen virksomhet.
Microsoft har valgt en annen metode, som har fått en del til å stille spørsmål om selskapets hensikter. I stedet for å laste ned en svarteliste med jevne mellom, vil Microsoft Phishing Filter sende forespørsler for hver enkelt URL til en server hos Microsoft. Men løsningen tar også i bruk en hviteliste med adresser som ikke vil bli sjekket.
Rob Franco, Microsofts programansvarlige for sikkerheten i Internet Explorer, skriver Microsofts IE-blog at det er flere årsaker til at selskapet har valgt en slik løsning. Selskapet mener at sikkerheten forbedres ved at filteret til enhver tid er oppdatert, framfor en jevnlig nedlastet fil. I tillegg mener Franco at man på denne måten kan unngå den overbelastning av servere som kan oppstå hvis veldig mange av brukerne skal laste ned en statisk svarteliste omtrent samtidig.
Dette har ført til at enkelte har stilt spørsmål om hva dataene fra filteret vil bli brukt til. Selskapet opplyser i personverninformasjonen for Internet Explorer 7 at sammen med URL-en til siden brukeren besøker, vil det hentes inn informasjons fra brukerens maskin. Dette inkluderer blant annet IP-adressen og versjonsnummer på blant annet nettleseren og phishing-filteret. Dette gir Microsoft en enda bedre mulighet til å studere brukernes surfevaner. Søkemotorer som MSN Search og Google er også gode motorer for å samle inn slik informasjon, men Microsoft Phishing Filter vil være enda bedre for Microsoft, siden de fleste tross alt ikke er innom selskapets søkemotor før de besøker et nettsted.
Franco forteller riktignok at parameter-data (query-strenger) vil filtreres vekk fra URL-ene før de sendes til kontroll, at cookies ikke vil bli sendt til Microsoft og at selve forespørselen vil sendes over en kryptert SSL-forbindelse. Det skal også være mulig for brukerne å skru av den automatiske sjekken.
- Jeg håper dette oppklaringen hjelp til å fordrive en konspirasjonsteori eller to, skriver Franco.
Det er selvfølgelig ikke noe ulovlig i det Microsoft gjør, for informasjonen vil nok ikke kunne identifisere enkeltbrukerne ved navn. Derimot er det ikke usannsynlig at større grupper av brukere, for eksempel selskaper med registrerte IP-adresser, kan identifiseres.
Dette kan gi selskapet store fortrinn i forhold konkurrenter på en rekke områder. De aller fleste av brukerne av IE 7 trolig aldri vil skru av den automatiske sjekken.