На прошлой неделе поднялся большой переполох после того, как стало известно, что Google использует брешь в эпловском браузере Safari для отслеживания поведения пользователей через веб-рекламу. В настоящее время получен ответ от команды Internet Explorer, которая обратила свой пристальный взгляд на собственный браузер. В посте на официальном блоге компании сегодня они написали, что в действительности Google обходит настройки конфиденциальности и в IE также, хотя это только часть истории (подробнее об этом – немного позже). Как Microsoft объясняет довольно подробно в своей статье, Google воспользовался тем, что она описывает как “нюанс” в спецификации P3P, что в свою очередь позволило обойти пользовательские настройки конфиденциальности и отследить их с помощью куки. Это несколько иной метод, чем тот, который использовался в случае Сафари, но, в конечном счете, имеет одну и ту же цель. Microsoft говорит, что они связались с Google по этому поводу, но в данный момент поисковик предлагает решение в свою пользу.
Microsoft предлагает следующие спасительные шаги: сначала вам следует – если вы еще не сделали – обновить ваш IE браузер до 9 версии, а затем установить Tracking Protection List, которые полностью блокируют любые подобные попытки Google – более подробную информацию со ссылкой на источник можно найти ниже.
Однако, как отмечает Мэри Джо Фоли из ZDNet, Google не единственная компания, которая была уличена в использовании лазейки в P3P. Исследователи из CyLab Carnegie Mellon University говорят, что они предупредили Microsoft об уязвимости еще в 2010 году, и всего два дня назад директор лаборатории, Лорри Вера Cranor, писал об этой проблеме снова в TAP блоге (при поддержке Microsoft, между прочим), в котором подробно расписал о том, как Facebook и другие сайты изыскивают возможность обойти IE, чтобы блокировать куки. И действительно, Facebook с готовностью признает на своем сайте, что они не следуют политике P3P, пояснив, что стандарт “устарел и не отражает сущность технологий, которые используются в настоящее время в сети”, и что “большинство веб-сайтов» также в настоящее время не придерживается политики конфиденциальности P3P.
Обновление: старший вице-президент компании Google Рэйчел Ветстоун выступила с заявлением в ответ на сообщение в блоге Microsoft.
Сегодня Microsoft не включил важную информацию из своего блог поста.
Microsoft использует «самопровозглашенный» протокол (известный как “P3P”), начиная с 2002 года, и просит веб-сайты, чтобы те предоставили свою политику конфиденциальности в «машиночитаемой» форме. Хорошо известно, и Microsoft об этом знает, что непрактично удовлетворить просьбу компании, придерживаясь при этом современной веб функциональности. Мы остаемся открытыми в нашем подходе, как и многие другие веб-сайты.
На сегодняшний день политика Microsoft далеко не практична. Исследование, проведенное в 2010 году указывает на то, что более 11000 веб-сайтов не придерживаются политики P3P по просьбе Microsoft.