2 Punkte von GN⁺ 2024-02-01 | 1 Kommentare | Auf WhatsApp teilen
  • Es gibt vermehrt Berichte, dass Microsoft Edge für Windows geöffnete Tabs und Browserdaten von Chrome importiert, ohne Zustimmung der Nutzer oder selbst dann, wenn die entsprechende Einstellung deaktiviert ist
  • Edge verfügt über eine Funktion, die beim Start nicht nur Lesezeichen und gespeicherte Passwörter, sondern nahezu alle Browserdaten aus Chrome importieren kann; sie existiert mindestens seit Mitte 2022
  • Tom Warren von The Verge berichtet, dass Edge nach einem Neustart mit denselben Tabs geöffnet wurde wie Chrome zuvor und dass er dem Import nie zugestimmt hatte und die Einstellung deaktiviert war
  • Die jüngsten Fälle scheinen seit dem am 23. Januar 2024 veröffentlichten Windows-11-Update KB5034204 zugenommen zu haben; der Installationsbildschirm enthält den Hinweis, dass Edge regelmäßig Daten aus anderen Browsern importiert
  • Microsoft lehnte einen offiziellen Kommentar ab, doch laut einer mit den internen Vorgängen vertrauten Person könnte der auf einem anderen Gerät gewählte Status von continuous import fälschlich geräteübergreifend synchronisiert worden sein; ein Fix sei für die nächste Edge Stable-Version in Arbeit

Kontroverse um den automatischen Import von Chrome-Daten in Edge

  • Windows-Nutzer berichten, dass Edge geöffnete Tabs und andere Daten aus Chrome ohne Erlaubnis importiert
  • Das Kernproblem ist, dass dieses Verhalten selbst dann auftritt, wenn die zugehörige Einstellung deaktiviert ist
  • Die Importfunktion von Edge geht über eine einmalige Übernahme von Lesezeichen und Passwörtern hinaus und kann bei jedem Start Chrome-Daten importieren
  • Wenn man mit einem Microsoft-Konto angemeldet ist, können importierte Daten mit der Cloud synchronisiert werden, was für Nutzer problematisch ist, die Chrome- und Edge-Umgebung getrennt halten wollten

Nutzerberichte schon seit längerem

  • Windows-Nutzer erleben seit 2023 unerwartetes Verhalten bei der Importfunktion von Edge
  • Einige Medien erklärten, wie sich die Funktion unter edge://settings/profiles/importBrowsingData deaktivieren lässt, doch laut Reaktionen von Lesern und Nutzerberichten läuft der Import auch dann weiter
  • Mehrere Threads im Microsoft-Supportforum und Beiträge auf Reddit behaupten ebenfalls, dass Edge Chrome-Daten unerwartet importiert und dies auch bei deaktivierter Einstellung geschieht
  • Microsoft-Mitarbeiter und unabhängige Berater schlugen vor, die Einstellung ImportBrowsingData zu prüfen und den automatischen Import per Group-Policy-Registrierungsschlüssel manuell zu deaktivieren, doch die Rückmeldungen der Nutzer deuten eher darauf hin, dass dies nicht wirkt

Der Fall Tom Warren und die Ausbreitung

  • Tom Warren von The Verge erlebte nach einem Neustart, dass Edge mit denselben Tabs geöffnet wurde wie Chrome vor dem Neustart
  • Warren erklärte, dass er nie erlaubt habe, Chrome-Daten oder geöffnete Chrome-Tabs in Edge zu importieren, und dass die entsprechende Einstellung zum Zeitpunkt der Prüfung deaktiviert war
  • Online-Berichten zufolge tritt dieses Verhalten bei mehreren Nutzern auf, ist aber offenbar nicht bei allen allgemein reproduzierbar

Auffällige Veränderungen seit dem Update KB5034204

  • Fälle, in denen Edge mit bereits aus Chrome übernommenen Tabs startet, scheinen seit dem am 23. Januar 2024 veröffentlichten Windows-11-Update KB5034204 auffälliger geworden zu sein
  • Während der Installation von KB5034204 erscheint ein Bildschirm mit dem Hinweis, dass Edge „regelmäßig Daten aus anderen auf Windows-Geräten verfügbaren Browsern importiert“
  • Der Sicherheitsforscher Zach Edwards schrieb auf X/Twitter, dass Microsoft wegen dieses Installationsbildschirms diesmal möglicherweise einen gewissen Erklärungsansatz habe
  • Das Problem des Imports von Chrome-Daten in Edge selbst ist jedoch nicht neu und wurde bereits in Forenbeiträgen und Hilfegesuchen dokumentiert

Microsofts Reaktion und offene Fragen

  • Neben dem Edge-Problem soll KB5034204 bei mehreren Windows-11-Nutzern auch Installationsfehler und Boot-Probleme verursacht haben
  • Andere Websites berichten zudem über beschädigte Apps, Probleme mit dem Datei-Explorer und mit der Taskleiste
  • Microsoft hat auf Fragen zu diesen Problemen keine offizielle Antwort gegeben und auch zum Edge-Problem einen offiziellen Kommentar abgelehnt
  • Laut einer mit den internen Vorgängen vertrauten Person könnte der Fall dadurch entstanden sein, dass Nutzer beim ersten Start von Edge auf einem anderen Gerät continuous import gewählt haben und dieser Status dann fälschlich geräteübergreifend synchronisiert wurde
    • Diese Person hält das Verhalten nicht für die beabsichtigte Produkterfahrung
    • Microsoft soll daran arbeiten, das in der nächsten Edge Stable-Version zu beheben

1 Kommentare

 
GN⁺ 2024-02-01
Meinungen auf Hacker News
  • Ist ein Duplikat, siehe die frühere Diskussion: https://news.ycombinator.com/item?id=39179929

  • Diskussion von gestern: https://news.ycombinator.com/item?id=39179929

  • Ich glaube, Firefox schützt einen im Allgemeinen auch nicht davor.
    Ich habe meiner Mutter gezeigt, wie sie Whatsapp über web.whatsapp.com nutzt, damit sie Screenshots oder Links einfacher teilen kann. Ein paar Sekunden nach dem Login kam eine Benachrichtigung aus dem App Store, dass Whatsapp installiert wurde, und tatsächlich war die Desktop-App ohne Zutun des Nutzers installiert.
    Ich weiß nicht, wie das ausgelöst wurde, vermutete aber, dass es damit zusammenhängen könnte, dass DoH standardmäßig deaktiviert ist.
    Allerdings ist es, wie viele Kommentare anmerken, sehr wahrscheinlich, dass meine Erinnerung falsch ist. Nachdem ich in Firefox den Verlauf zu whatsapp.com gelöscht und die App entfernt hatte, konnte ich es nicht reproduzieren. Ich sah drei separate Buttons zum „App installieren“, aber alle öffneten einen zusätzlichen Installations-Bestätigungsdialog des App Stores.
    Laut https://developer.mozilla.org/en-US/docs/Web/Progressive_web... unterstützt Firefox ohne Erweiterung keine PWA, also war es das wohl auch nicht.

    • Klingt nach einer Progressive Web App (PWA), und vermutlich wurde sie dazu verleitet, den Installationsbefehl anzuklicken.
    • DNS hat damit meiner Ansicht nach überhaupt nichts zu tun.
      Selbst wenn eine andere IP zurückgegeben wird, muss sie die TLS-Prüfung bestehen, und die Handlungen, die der Browser ausführen kann, ändern sich dadurch nicht. Wenn das möglich wäre, wäre es eine riesige Schwachstelle. DoH ist eher eine Datenschutz- als eine Sicherheitsfunktion.
      Ohne genauere Informationen ist das seltsam und schwer zu verstehen, aber wie andere Antworten sagen, könnte es eine PWA gewesen sein.
    • Ich glaube nicht, dass so etwas passiert ist.
    • „Die Desktop-App wurde ohne Zutun des Nutzers installiert“ ist äußerst unwahrscheinlich.
      Wenn das wirklich passiert wäre, wären die Nachrichten voll davon, und Tech-Tabloids hätten mit solcher FUD begeistert Klicks gemacht.
      Viel plausibler ist, dass eindeutig etwas angeklickt wurde, das die Installation genehmigt oder ausgelöst hat, und dass man sich nicht daran erinnert.
    • Unter dieser Adresse kann man sich nicht „bei Whatsapp einloggen“; man kann nur die App herunterladen und installieren, und die Website macht das auch sehr deutlich.
  • Ab welchem Punkt wird so etwas mehr als ein Dark Pattern und illegal?
    Man könnte zwar behaupten, der Nutzer habe zugestimmt, Passwörter an Microsoft hochzuladen, aber eine Phishing-Website kann einer Strafverfolgung auch nicht entgehen, nur weil in ihren AGB steht: „Wenn Sie Ihr Passwort auf dieser gefälschten Bankseite eingeben, wird es an ShadyFooCorp hochgeladen.“

    • Viele dieser Taktiken dürften bereits illegal sein. Aber inzwischen sind Bußgelder einfach Marketingkosten.
      Welche Strafe auch immer verhängt wird: Verglichen mit der Zahl der Nutzer, die diese Strategie zu Edge bringt, ist das vermutlich nichts.
    • ShadyFooCorp hat keine zahllosen Verträge mit der Regierung, und Regierungscomputer laufen auch nicht auf deren Betriebssystem.
      Das einzige halbwegs ernsthafte Argument wäre wohl, dass man Komfort und Nutzen für den Nutzer berücksichtigt habe und die gesammelten Passwörter nicht offen missbrauche.
  • Als jemand, der weiterhin Debian Linux nutzt, verwende ich Windows fast nur noch bei der Arbeit.
    Interne Windows-Einstellungen überlasse ich dem Infrastrukturteam; Nutzereinstellungen oder Updates interessieren mich nicht. Den Arbeitslaptop benutze ich nur zum Arbeiten.
    Gelegentlich muss ich ein aktuelles Windows selbst installieren und einrichten, etwa auf dem neuen Laptop meiner Schwiegermutter, und dann bin ich jedes Mal genervt von all den Kleinigkeiten, die man neu erledigen muss. Beim letzten Mal steckten schon die Kontoerstellung, Nachrichten und Wetter in der Taskleiste, Microsoft Edge und alles Mögliche dazwischen.
    Ich bin stolz darauf, Debian-Nutzer zu sein. Es ist nicht perfekt und kann auch nicht alle neuesten Spiele ausführen, aber es bietet alles, was ich mindestens brauche.
    Ich wünschte, mehr Menschen würden Windows verlassen. Gamer müssten vielleicht auf nicht unterstützte Spiele verzichten, aber Unternehmen, auch Spieleentwickler, gehen dorthin, wo das Geld ist.
    Je besser und bequemer Computer werden, desto mehr Freiheit verlieren wir, aber die Leute kümmert es nicht.

  • Nachdem Microsoft die frühen Web-1.0- und Web-2.0-Wellen komplett verpasst hat, wirkt die Reaktion des Unternehmens so, als wolle es weniger vertrauenswürdig werden als Meta, Google, TikTok, Apple und Amazon zusammen.
    Einzelne Änderungen mögen wie etwas wirken, das auch andere SaaS-Anbieter tun würden, aber in der Summe erscheint Microsoft als der am wenigsten zurückhaltende unter den großen Anbietern im Cloud-/SaaS-Markt.

  • Das ist nichts Neues. Vor zwei Monaten wurde dasselbe Verhalten auf HN gemeldet, und ich schrieb, dass ich Edge dank des neuen EU-DMA-Updates entfernt habe, um zu verhindern, dass der Verlauf irgendeines Browsers möglicherweise an Microsoft übertragen wird.
    https://news.ycombinator.com/item?id=38430102

  • Microsoft Edge ist eine besondere Art von scherzhafter Malware. Die Entwicklungsleitung sollte mindestens versetzt werden; für eine so nutzerfeindliche Ausrichtung gibt es keine Entschuldigung.

    • Das Enttäuschende an Microsoft Edge ist, dass er ein hervorragender Browser war und es immer noch sein könnte.
      Kürzlich musste ich einen schwachen Rechner nutzen (Celeron 6305, 4 GB RAM, Windows 11), und Firefox lief darauf nicht richtig. Nach dem Wechsel zu Edge öffneten sich Webseiten deutlich schneller, und RAM sowie CPU wurden viel weniger belastet.
      Das Problem war, dass ich in die Einstellungen gehen und mindestens zehn Dinge wie Shopping-Assistent, Copilot, Seitenleiste usw. deaktivieren musste. Durchschnittliche Nutzer wissen nicht, wie man solche „Funktionen“ abschaltet, oder sind unsicher, ob sie das überhaupt tun sollten, und landen am Ende bei einem Browser, der ihnen weiter werbliche Elemente zeigt und viele Daten an Microsoft sendet.
      Kurz gesagt: Auf schwachen Computern läuft Edge gut, aber Microsoft hat ihn mit jeder Menge Müll vollgestopft.
    • Seltsam ist, dass sie ihn gründlich ruiniert haben, noch bevor sie Marktanteile aufbauen konnten. Inzwischen ist er wegen unaufgeforderter Coupons und Kredit-Mechanismen sogar schlimmer als Chrome.
    • Das dürfte an den Anwälten liegen.
  • Zwei Dinge würden mich interessieren:

    1. Passiert das nur, wenn man Edge tatsächlich nutzt, oder geschieht es automatisch im Hintergrund, selbst wenn man nie ein Edge-Fenster geöffnet hat?
    2. Fließen die so gesammelten Daten – unabhängig davon, ob sie anonymisiert sind – in die Windows-Telemetrie ein?
      In einer Situation, in der das Entfernen von Edge nicht „erlaubt“ ist und auch das vollständige Deaktivieren der Telemetrie nicht „erlaubt“ ist, kommt der Verdacht auf, dass Browser-Verläufe möglicherweise an Microsoft-Server gesendet werden – ob sie nun von Edge importiert wurden oder nicht.
    • MS Windows kann man entfernen
    • Im EWR (EU) wird ein in den nächsten Wochen erscheinendes Update es ermöglichen, Edge einfach zu entfernen: https://blogs.windows.com/windows-insider/2023/11/16/preview...
      Außerhalb des EWR dürfte es wohl auch nicht allzu schwer sein, das zu tun
    • Die Antwort auf Frage 1 würde ich wirklich gern sehen
  • An solchen Integrationsarbeiten waren ganz sicher Ingenieure beteiligt. Einige von ihnen lesen vielleicht gerade auch diesen Beitrag hier.
    Ich frage mich, welches Narrativ intern aufgebaut wird, um die Implementierung einer solchen Funktion zu rechtfertigen.

    • Vermutlich eine User Story wie: „Als MS-Edge-Nutzer möchte ich beim Öffnen von MS Edge sofort auf meine Chromium-Tabs zugreifen können, damit ich in MS Edge nahtlos weiterarbeiten kann.“
    • Programmieren zu können korreliert nicht mit ethischem Bewusstsein oder Empathie.
      Der Wunsch, Nutzer für Profit mit Füßen zu treten, ist nicht allein Werbe-Führungskräften vorbehalten.
    • Es dürfte den Narrativen ähneln, mit denen Mitarbeiter von Google oder Meta rechtfertigen, weltweit Werbe-Tracking- und Überwachungsnetze aufzubauen und sogar Manipulationen zu betreiben, die Jugendliche in Depressionen und Selbsthass treiben.
      Vermutlich verdienen sie einfach genug Geld, um nicht über Ethik nachdenken zu müssen. Jeder hat ein Preisschild, besonders Menschen ohne Vermögen auf den eigenen Namen.
    • Es ist ein Narrativ in Dollar. Wenn Geld hereinkommt, geht die Ethik hinaus.
      Bei den meisten Hightech-Unternehmen, die Entwicklergehälter mit offensichtlich menschenfeindlichen Technologien wie Werbung, Tracking, invasivem Profiling und der Aggregation personenbezogener Daten bezahlen, ist es ähnlich. Man muss nicht weit nach Beispielen suchen.
    • Schritt 1: KPIs definieren, etwa den Anteil der Edge-Nutzer oder die Zahl der zu Edge gewechselten Nutzer.
      Schritt 2: Quartalsziele für die KPIs festlegen.
      Schritt 3: User Stories für Funktionen und Änderungen erstellen, mit denen die Ziele erreicht werden sollen.
      Schritt 4: Implementieren, ausrollen und den Anstieg der KPIs messen.
      Schritt 5: Verkünden, dass die KPI-Linie erfolgreich nach oben gegangen ist.