En kjent sikkerhetsekspert, Richard M. Smith, tidligere teknologisjef i Privacy Foundation, i dag frilanskonsulent, advarer mot en svakhet i Windows Media Player som gjør at ethvert nettsted kan fange opp en entydig identitet knyttet til selve PC-en.
Smith mener dette må karakteriseres som en "super cookie", fordi den ikke lar seg slå av gjennom de vanlige sikkerhetsinnstillingene i Internet Explorer, selv ikke med Windows XP og Internet Explorer 6.
Hvis du har installert Windows Media Player som plug-in til Netscape, er virkningen den samme: Du kan slå av "cookies" i Netscape, men ikke "super cookie'en" i Windows Media Player.
Microsofts multimediaspiller behøver ikke være aktiv, det er tilstrekkelig at den finnes på PC-en.
Det dreier seg om et id-nummer - av typen 3300AD50-2C39-46c0-AE0A-4F1F49767211 - som har vært nedfelt i Windows Media Player i mange år, og som kan leses fra et nettsted gjennom et enkelt skript. Den opprinnelige hensikten har antakelig vært å la innholdsleverandører fange opp PC-brukerens smak innen musikk og video. Men ID-nummeret kan leses av ethvert nettsted som ønsker å gjøre det.
Microsoft erkjente i en sikkerhetsbulletin i mai 2001 at ID-nummeret kunne misbrukes, og la ut en fiks. I nyere utgaver av spilleren - fra 7 og oppover - er det mulig å slå av den ellers automatiske identifiseringen. I versjon 6.4 som stadig leveres med nye Windows 2000 PC-er, kan innstillingen ikke styres.
Smith ser det som ganske merkverdig at Microsoft, etter endelig å ha erkjent formelt at sikkerhet og personvern er viktig, og etter å ha begynt å levere applikasjoner og systemvare - Internet Explorer 6.0 og Windows XP - der sikkerhetsinnstillingene i utgangspunktet er satt til det maksimale nivået - stadig leverer Windows Media Player med personverninnstillingen på nivå null.
Det er enkelt å sjekke om du er sårbar for dette eller ikke. Smith har lagt ut en demonstrasjon på nettstedet sitt, under overskriften SuperCookie demo. Dersom du får det samme nummeret selv om du bytter vindu hver gang du kjører demoen, er du sårbar.
For å slå av identifiseringen, må du inn i verktøy-menyen på Windows Media Player. Der velger du "Alternativer". Du får da opp et vindu med en rekke ulike innstillingskategorier. Velg "Spiller". Der går du til "Internett-innstillinger" og slår av "Tillat at Internett-områder identifiserer spilleren".
Hvis du ikke har noen verktøy-meny i Windows Media Player, må du oppgradere til en nyere versjon, gjennom Windows Update-funksjonen på startmenyen. Selv om oppgraderingen ikke nødvendigvis avinstallerer den gamle utgaven, vil Smiths demo avsløre om ID-nummeret fortsatt er statisk eller om det endrer seg hver gang du åpner et nytt vindu i nettleseren.
Noe av det mest oppsiktsvekkende med dette, er at ethvert nettsted verden over har i mange år kunnet registrere hvordan enhver PC brukes, uten at brukeren har vært klar over det, eller har hatt muligheten til å gardere seg.
Noen oversikt over hvordan sårbarheten har vært brukt i praksis, finnes ikke.
