Microsoft colpise ancora. Secondo quanto riportato dalla mailing list BugTraq, il MSN Messenger può comunicare ai siti visitati il "display name" dell'utente e quelli di tutti i contatti elencati nella rubrica degli indirizzi: è sufficiente che la pagina web incorpori l'opportuno codice JavaScript. In mancanza del display name vengono inviati gli indirizzi di posta elettronica.

Ma ci sono alcuni particolari ancora più interessanti: primo, i siti Microsoft sono automaticamente abilitati ad ottenerli; a quanto pare, infatti, i domini microsoft.com, hotmail.com e hotmail.msn.com sono cablati a tal fine nel codice stesso del MSN Messenger. Secondo, se nella chiave

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/MessengerService/Policies/Suffixes

Vero è che, per default, detta chiave è vuota, ma chi può escludere che qualche mail attachment malizioso (ed è solo un esempio) non vi inserisca i nomi desiderati dal suo mittente?

Per chi volesse verificare di persona, lo scopritore di questa interessante feature del MSN Messenger ha predisposto una paginetta dimostrativa. Viene inoltre descritto come evitare di essere tracciati contro la propria volontà: in Internet Explorer, dal menu "Strumenti" selezionate "Protezione", poi "Internet", poi "Personalizza" e infine "Disattiva" per la voce "Esegui script controlli ActiveX contrassegnati come sicuri"... già, vien da dire, bella sicurezza. Con ogni probabilità non sarete più in grado di godere appieno delle caratteristiche multimediali offerte da alcuni siti ma, personalmente, dubito che si tratti di funzionalità irrinunciabili.

Non è tutto. Sempre secondo BugTraq, MSN Messenger, in Windows XP, apre in segreto una connessione alla porta 1900 dell'indirizzo 239.255.255.250, anche se le funzionalità di UPnP e SSDP Discovery sono disabilitate a livello di sistema operativo.

Ho parlato di feature, ed è proprio questo l'aspetto peggiore della vicenda. Siamo al cospetto di gravissime violazioni della riservatezza, e non si tratta di "bachi", ma di implementazioni volute. Quale che sia lo scopo (commerciale, di controllo, eccetera) è assolutamente inaccettabile che un produttore di software si serva di subdoli metodi per carpire ai propri utenti informazioni che sarebbe più corretto richiedere, se proprio si desidera avere.

E il peggio del peggio è che a farlo non sia una sonosciuta aziendina qualsiasi, ma Microsoft, che può vantare la presenza dei propri prodotti su una elevatissima percentuale dei personal computer installati nel mondo intero.

Se davvero Bill Gates ha deciso di sospendere per un mese lo sviluppo per dedicarsi alla correzione dei bugs presenti nei suoi prodotti, più realisticamente potrebbe cominciare proprio da queste brillanti features.