Microsoft: Google kiersi Internet Explorerin suojauksen
26
Microsoftin IEBlogissa yhtiön Internet Explorerista vastaava johtaja Dean Hachamovitch kuvailee, kuinka Google ohitti Internet Explorerin suojat.
IE:n asetukset estävät kolmannen osapuolen, siis muun kuin käyttäjän osoitekentässä näkyvän, käyttäjän evästeet. Näin ei tapahdu, jos palvelin esittää P3P-lausunnon, jonka mukaan se lupaa olla seuraamatta käyttäjää. P3P-prokollan avulla palvelut voivat ilmoittaa vakiomuodossa, miten ne aikovat käyttää keräämiään tietoja. P3P-selaimet voivat estää evästeet, jotka eivät noudata käyttäjän yksityisyysmäärityksiä.
Hachamovitchin mukaan Google käytti P3P-lausuntoa, joka sanoi, ettei se ole P3P-lause. Tämän avulla Google ohitti eston.
Tutkijan mukaan Microsoft on tiennyt P3P-suojan bugista jo pitkään eikä ole tehnyt mitään sen suhteen, PCWorld kirjoittaa.
– Yritykset ovat havainneet, että ne voivat valehdella (P3P-ilmoituksissa) eikä kukaan tee mitään sen suhteen.
– Yritykset ovat myös havainneet, että IE ei estä evästettä, jos yksityisyyslause on epäkelpo, Lorrie Faith Cranor kirjoitti blogissa. Hän on tietojenkäsittelytieteen apulaisprofessori Carnegie Mellon Yliopistossa.
Cranorin mukaan Google ei ole ainoa, joka kiertää P3P-suojausta. Facebook-palvelu kertoo P3P-lauseessaan, ettei sillä ole P3P-käytäntöä. Hän sanoo, että tuhannet yritykset valehtelevat P3P-lauseissaan käyttäjätietojen keräämisestä ja käytöstä.
Microsoftin Hachamovitch kirjoitti blogissa, että P3P-ongelma ei koske uutta IE 9 -selainta, sillä se käyttää uutta Tracking Protection -menetelmää.
Kommentit (26)
Mites Google Chrome ja Chromium oikein hoitaa nuo P3P käytännöt?
Kun kaikki tekee asiaa, koska oletuksena kaikki(?) selaimet estää kaiken mahdollisen mainonnan ja cookiet niin onko kellään varaa oikeasti syyttää ketää?
Jos Google Chrome ja Chromium myöskin sallivat tuon P3P kättelyn (sehän ei ole mikään tiedonsiirto protokolla vaan ainoastaan sovittu tapa miten HTTP protokollan toteutus tapahtuu) niin sillon Googlekin on uhrina Microsoftin ja Facebookin tiedonkeruulle.
Pitäisikö Googlen valittaa kovaan ääneen että Microsoft kiertää selainten suojauksia?
Microsoft on ollut tietoinen P3P kättelyn virheestä jo yli vuoden mutta se ei ole korjannut sitä selaimessaan.
P3P is a real standard from the W3C, so this is not some crazy idea that Microsoft came up with on its own. However, Microsoft is the only company to implement P3P in their browser; they've had it in IE for nearly a decade. The net effect of this bug is that IE effectively ignores P3P, which isn't the end of the world since that's exactly what browsers such as Firefox, Opera, Safari and Chrome have always done. Since almost nobody used IE's P3P policy feature, it's not surprising it could stay broken for so long.
Eli Google Chrome, Chromium, Firefox, Opera, Safari eikä mikää muu nettiselain kuin IE toteuta W3C standardia P3P tekniikasta ja MS on tarjonnut sen jo yli 10 vuotta ja pitänyt sen rikkinäisenä ja nyt se sitte valittaa että se ei toimi oikein.
Kaksinaaimaista pelleilyä Microsoftilta ja muilta vastuutonta toimea kun ei edes perus standardia osata noudattaa.
Kaksinaaimaista pelleilyä Microsoftilta ja muilta vastuutonta toimea kun ei edes perus standardia osata noudattaa.
Turhaa vauhkoamista ja asian monimutkaistamista.
Konnia ne ovat kaikki; MS, Google ja Apple - heidän tavoitteenaan ei ole mitään muuta kuin saattaa asiakkaansa sellaiseen kujaan ettei ole mitään mahdollisuuttakaan käyttää kilpailijan tuotetta. Täyttä naivismia väittää mitään muuta.
Ja sä kirjoitit ihan vahingossa trollauksen johon lipsahti ihan vahingossa pelkkiä valheita ja ihan vahingossa selain ihan itsekseen painoi "lähetä viesti" ja kirjoittamasi viestihän ihan vahingossa tuli viestikenttään eikä oikeasti ollut sun kirjoittama.
Ei Googlen tarvitse omaa selaintaan mitenkään hakkeroida. Kirjoittavat vain tietojenkeruun suoraan koodiin.
Ja sä kirjoitit ihan vahingossa trollauksen johon lipsahti ihan vahingossa pelkkiä valheita ja ihan vahingossa selain ihan itsekseen painoi "lähetä viesti" ja kirjoittamasi viestihän ihan vahingossa tuli viestikenttään eikä oikeasti ollut sun kirjoittama.
Ihan vahingossa siihen tuli totuus ja ihan vahingossa Chrome sen lähetti. Ihan vahingossa Chrome menee nyt roskiin.
Joten on ihan oikein, että Google nyysii tietoja käyttäjän tietämättä?