Nach einem vom US-Sicherheitsexperten Richard Smith auf der Sicherheits-Mailingliste Bugtraq veröffentlichten Beitrag kann wegen einem Fehler im Windows Media Player (WMP) das Surfverhalten eines Users im Internet verfolgt werden. Ein Webpage-Betreiber kann mit einer einfachen Code-Zeile JavaScribt die Seriennummer des WMP abfragen und so den Computer eines Surfers immer wieder identifizieren.

Smith nennt diese Schwäche ein "SuperCookie". Die Sicherheitslücke sei deswegen so problematisch, weil damit alle P3P-Funktionen (Platform for Privacy Preferences) zum Schutz der Privatsphäre des Users, die Microsoft in den Internet Explorer 6 (IE 6) integriert hat, umgangen werden, so Smith. Der IE 6 wird zusammen mit dem Betriebssystem Windows XP ausgeliefert. Das Sicherheitsrisiko besteht allerdings für alle IE-Versionen, die zusammen mit dem WMP installiert sind.

Cookies sind Datensätze, die von Webseiten auf der Festplatte des PCs abgelegt werden. Damit lässt sich das Surfverhalten des Users verfolgen. Diesen Vorgang kann der Benutzer mit dem Cookie-Filter verhindern. Doch bleibt der Filter wirkungslos, wenn der stattdessen der WMP identifiziert wird. Zur Demonstration hat Smith eine eigene Webpage eingerichtet: http://www.computerbytesman.com/privacy/supercookiedemo.htm

Als provisorische Lösung schlägt Smith vor, den WMP so zu konfigurieren, dass die Webpage die Kennung nicht auslesen kann.