IE 9 也沦陷,Google 照样愚弄了 W3C 的技术规范利用 cookie 追踪用户

标签: 故事/传闻 Google Company Google Fail IE Microsoft | 发表时间:2012-02-20 20:56 | 作者:musiXboy
出处:http://www.guao.hk

Google的“cookies门”事件还没完就在微软隔岸观火幸灾乐祸一石二鸟之时突然发现自己的IE 9其实也中枪了,Google照样找到了自己的办法绕过IE 9的cookies设置,防止自己的追踪型cookies。

IE 9的规范要求放置追踪型cookies的网站必须利用 W3C的P3P技术描述出自己将如何利用cookies追踪信息,如果不使用P3P标准,是不允许利用cookies来追踪用户信息的。但 Google称自己不喜欢这个W3C标准,于是冰雪聪明的他们找到了一个办法绕过IE 9的这个机制,使用不符合P3P标准的cookies来追踪用户信息──按理说这种cookies应该是被IE 9禁止的。

先拿microsoft.com网站cookies里的P3P部分代码来说,是这样的:

P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

其中每三位或四位的字母都代表一种动作,好告诉浏览器自己这个cookies要做什么。而Google的P3P部分是这么写的:

P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

声明自己不支持P3P政策,然后给出一个链接地址。

那么绕过P3P技术放置自己的追踪型cookies是否是正确的呢?在 W3C的3.2 政策这一章里明确写有P3P的规范

对于P3P无法精确描述网站动作的情况,网站应该使用最清晰的词汇术语对于cookies带来的后果写出自己的用户可以读的懂的政策,该政策不能是虚假的或产生歧义。

Google在自己的cookies里还真是给出了 一个链接地址,告诉用户为什么自己不支持P3P技术,然后 在这个链接里给出了 Google的隐私政策地址。但cookies里的文字其实是给浏览器去阅读的,一个正常的用户不会翻出各家cookies仔细阅读,但其实只有这个办法用户才会知道Google放置在IE 9里的cookies是不符合P3P规范的,这个声明其实完全毫无意义。

而对浏览器而言,Google的这个P3P声明部分会让浏览器认为Google的政策不会用于任何追踪目的,于是Google靠着这个小聪明就成功绕过了IE 9和W3C对P3P的规定,即不用给浏览器声明自己要做的动作,也不必告诉用户自己的追踪动作,然后还可以堂而皇之的追踪用户信息。

如果你希望了解更多IE关于cookies的控制,以及如何阻拦Google这个小聪明的cookies来追踪你, 可以参考微软的这篇博文

Via SAI


© musiXboy 发表于 谷奥——探寻谷歌的奥秘 ( http://www.guao.hk ), 2012. | 1 条评论 | 永久链接 | 关于谷奥 | 投稿/爆料
Post tags: , , , , , ,

相关 [ie 沦陷 google] 推荐:

IE 9 也沦陷,Google 照样愚弄了 W3C 的技术规范利用 cookie 追踪用户

- - 谷奥——探寻谷歌的奥秘
Google的“cookies门”事件还没完, 就在微软隔岸观火幸灾乐祸一石二鸟之时, 突然发现自己的IE 9其实也中枪了,Google照样找到了自己的办法绕过IE 9的cookies设置,防止自己的追踪型cookies. IE 9的规范要求放置追踪型cookies的网站必须利用 W3C的P3P技术描述出自己将如何利用cookies追踪信息,如果不使用P3P标准,是不允许利用cookies来追踪用户信息的.

IE 浏览器说 Google 帐户登录界面不安全

- 瑠音北樟 - 谷奥——探寻谷歌的奥秘
感谢读者 crazyhmx 的爆料. 今天,许多人都发现了用内置了防钓鱼功能的IE 8、9浏览器无法登录Google帐户了,当你试图登录跳转到accounts.google.com的时候,IE浏览器说这个网站不安全,建议你不要继续(如上图). 尤其对于IE9用户来说,想登录Google帐户是完全没可能的了,除非换用其它浏览器.

Google Realated for Chrome 和 IE 发布,随时推送正在浏览的相关信息

- skymare - 谷奥——探寻谷歌的奥秘
Google Related目前以Chrome扩展的形式存在,同时也集成到了Google Toolbar for IE里. 在安装扩展之后,你只要随便打开一个网页,Google都会在页面下方显示出一个Google Related工具栏,这里会根据当前你浏览页面的信息推送给你相关内容,比如你浏览一个饭馆的网页,可能会推送你该饭馆的Google Maps地图、Google Places评论以及跟该饭馆口味类似的其它饭馆.

3個 IE 9 專用工具:修護、改造、Google 工具列通通有

- Felix - T客邦
IE9 推出後,在操作介面、效能速度上都有很大的改進,不但在瀏覽器評比中得到不錯的成績,也奪下Windows 7中瀏覽器使用者的王座. 這裡介紹3個工具,包括 Google Toolbar、IE9 Tweaker Plus 2.0、IE Care Free,讓你的 IE9 更好用. 工具1:IE Care Free復原、清除各種疑難雜症.

Google Realated for Chrome 和 IE 发布 随时推送正在浏览的相关信息

- Happe - cnBeta.COM
Google Related目前以Chrome扩展的形式存在,同时也集成到了Google Toolbar for IE里. 在安装扩展之后,你只要随便打开一个网页,Google都会在页面下方显示出一个Google Related工具栏,这里会根据当前你浏览页面的信息推送给你相关内容,比如你浏览一个饭馆的网页,可能会推送你该饭馆的Google Maps地图、Google Places评论以及跟该饭馆口味类似的其它饭馆.

IE 16岁了

- yuguichun123 - cnBeta.COM
Firefox 6正式版的发布引来了诸多关注,但悄无声息之中,Internet Explorer迎来了自己的16周岁生日――Mozilla,你才应该是送蛋糕的那个. 1995年8月16日(美国当地时间),微软发布了第一个版本的Internet Explorer. 其实,IE并不是微软完全自主开发的产品,而是花了200万美元购买Spyglass Mosaic浏览器的授权,然后修改而来.

如何把 Google Chrome 圖示偽裝成 IE ? 讓不熟電腦的長輩也能不知不覺換用

- Blanboom - 重灌狂人
這雖然是個很無聊的舉動,不過對很多長輩來說,使用電腦的時候大部分只會認位置、認圖示,真的要教他另外換個軟體可能到頭來他還是很習慣的繼續開藍色圓球那個東西來用.

IE 浏览器的创新

- - 博客 - 伯乐在线
译者按:IE 曾是 web 创新的先驱,但最近几年因为对 web 标准的支持落后于其他 浏览器以及低版本 IE 的各种 bug 而被人诟病. Zakas 带我们回顾了 IE 在 web 发展过程中扮演的辉煌角色,让我们能以一个更客观的眼光来看待 IE. 看完这篇文章,也许大家都会对 IE 浏览器有一定的改观,这也是我翻译这篇文章的目的.

奇怪的 IE Cookie 设置

- - IE浏览器中文网站
今天接到一个奇怪的问题,所有的浏览器都可以正常执行,唯独在 IE10 浏览器下运行会有问题,花了一些时间找问题到底是什么,这篇记录一下,希望能帮到不小心路过的网友. 经过一番 IE8, IE10, Chrome, Firefox 交叉测试后,发现 IE8 的状态栏有个小小的安全性提示(本来要截图,结果 … 选了接受 cookie 就 … 看不到图了),幸好有使用 IE8 做测试,真是不幸中的大幸,IE10 完全自己暗槓起来什么都不说啊 ~~~.

IE CSS文件限制

- - Web前端 - ITeye博客
单个页面最多31个css文件. 每个css文件大小最大288k. 每个css文件最多4095个选择器. Resource merging, which help you reduce the number of requests made to the server, may bring the following dilemma in IE.