Internet Explorer również podatny na sztuczki Google’a (aktualizacja!)

Wczoraj informowaliśmy was o wykorzystaniu przez Google'a usterki w Safari, dzięki czemu mógł on śledzić użytkowników nawet jeśli ci mieli w przeglądarce włączoną ochronę prywatności. Dziś Microsoft informuje o wykryciu podobnych praktyk wobec Internet Explorera.
Nie tylko Safari, ale i Internet Explorer wykorzystane przez Google'a

Nie tylko Safari, ale i Internet Explorer wykorzystane przez Google’a

Microsoft po cichu wycofał się z chwalenia swojej przeglądarki, która, „w przeciwieństwie do Safari, jest odporna na sztuczki Google’a”. Jak się okazuje, nie jest. Internet Explorer okazał się również podatny na działanie „złośliwego” ciasteczka. Jak twierdzi Microsoft, Google wykorzystał niedoskonałość mechanizmu P3P chroniącego prywatność w Internet Explorerze, przez co przeglądarka ignorowała ustawienia prywatności użytkownika, podobnie jak Safari

Google jak dotąd nie odniósł się do zarzutów Microsoftu. Nie wiadomo, czy problem dotyczy również Firefoksa, Opery i Chrome’a.

Aktualizacja:

Otrzymaliśmy obszerny komentarz od Google. Starając się go jak najwierniej przetłumaczyć na polski, umieszczamy w całości:

Microsoft pominął ważne informacje ze swojej notki na blogu.

Microsoft wykorzystuje protokół autodeklaracji (znany pod nazwą „P3P”) z 2002 roku, na mocy którego Microsoft zadaje zapytanie stronom internetowym, by te zadeklarowały swoje praktyki dotyczące prywatności w formie zrozumiałej dla komputera. Microsoft i wszyscy dobrze wiedzą, że by umożliwić funkcjonowanie nowoczesnej witryny internetowej, stosowanie się do tego zapytania jest niepraktyczne. Byliśmy otwarci, jeśli chodzi o nasze podejście, tak jak inne witryny.

Dziś polityka Microsoftu często nie funkcjonuje. Według badań z 2010 roku ponad 11 tysięcy witryn nie stosowało się do zapytań Microsoftu i polityki P3P. Poniżej, więcej informacji. Problem istniał od 2002 roku.

Od wielu lat przeglądarka Microsoftu zadawała zapytanie witrynie, by ta sama zadeklarowała swoje ciasteczka i politykę prywatności w formie zrozumiałej dla maszyny, wykorzystując politykę P3P.

Internet Explorer, w uproszczeniu, pyta się witrynę o funkcje zostawianych przez nią ciasteczek, a następnie podejmuje decyzje czy na ich działanie zezwolić. Nie miało to większego znaczenia w 2002 roku, kiedy zaprezentowano P3P (a Wall Street Journal twierdzi, że nasze ciasteczka reklamowe DoubleClick są zgodne z polityką Microsoftu), ale dziś nowoczesne funkcje oparte na ciasteczkach nie mogą działać przy implementacji P3P w IE. Należą do nich przyciski „Lubię to” Facebooka, możliwość logowania się do witryn za pomocą Konta Google i setki innych nowoczesnych usług webowych. Uważa się, że nie jest praktycznym stosowanie się do zasad Microsoftu, zapewniając jednocześnie te funkcje.

Na dziś dzień, polityka Microsoftu w wielu przypadkach nie funkcjonuje.

W 2010 doniesiono:

„Przeglądarki takie, jak Chrome, Firefox i Safari mają prostsze ustawienia bezpieczeństwa. Zamiast sprawdzać politykę witryny, przeglądarki te pozwalają po prostu ludziom na wybranie, czy blokować wszystkie ciasteczka, czy tylko firm trzecich, czy na wszystkie zezwolić.” Tysiące witryn nie wykorzystuje polityk P3P. Firma, która pomaga korporacjom wdrażać standardy dotyczące prywatności, TRUSTe, potwierdziła w 2010 roku, że większość witryn, które ona certyfikuje, nie wykorzystuje ważnej polityki P3P, której domaga się Microsoft:

„Mimo, iż P3P istnieje od dekady, nie zdobył popularności. Warto zaznaczyć, że mniej niż 12 procent z ponad 3000 witryn TRUSTe certyfikowało stosuje politykę P3P. Prawda wygląda tak że klienci w większości nie wykorzystują P3P do podejmowania decyzji o ujawnianiu danych.”

Badanie z 2010 roku od Carnegie Mellon wykazało, że 11 176 z 33 139 witryn nie stosowało polityki P3P wymaganej przez Microsoft.

W badaniu, wśród witryn które oferowały inny kod niż ten żadany przez Microsoft, znalazły się live.com i msn.com należące do Microsoftu. Strona wsparcia Microsoftu Badanie z 2010 roku „odkryło, że witryna Microsoftu zaleca stosowanie nieważnych kodów CP jako obejście problemu w IE”. Ta rekomendacja była głównym powodem dla wielu z 11 176 witryn zwracało inny kod niż ten, którego Microsoft się domagał.

Google zapewnił informację tłumaczącą swoje praktyki. Microsoft mógł to zmienić. Jak inni zauważają, ten problem był znany od lat.

  • Specjalistka ds. zabezpieczeń, Lauren Weinstein, zaznacza: „Tak czy inaczej, dzisiejszy post Microsoftu, biorąc pod uwagę co już od dawna wiadomo o defektach IE i P3P w tym kontekście, jest co najmniej obłudny, i z pewnością nie pomaga w rozwiązaniu sprawy”
  • Chris Soghoian, specjalista ds. prywatności, zaznacza: „zamiast łatać niedoskonałośc P3P w IE, którą wykorzystały FB i Amazon… Microsoft nie zrobił nic. A teraz narzekają, że Google ją wykorzystało”.
  • Nawet Wall Street Journal stwierdza: „Chodzi tu o problem, który był znany od dawna Microsoftowi i specjalistom ds. prywatności…”
0
Źródło: Microsoft
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.