IE 9 也沦陷,Google 照样愚弄了 W3C 的技术规范利用 cookie 追踪用户

标签: 故事/传闻 Google Company Google Fail IE Microsoft | 发表时间:2012-02-20 20:56 | 作者:musiXboy
分享到:
出处:http://www.guao.hk

Google的“cookies门”事件还没完就在微软隔岸观火幸灾乐祸一石二鸟之时突然发现自己的IE 9其实也中枪了,Google照样找到了自己的办法绕过IE 9的cookies设置,防止自己的追踪型cookies。

IE 9的规范要求放置追踪型cookies的网站必须利用 W3C的P3P技术描述出自己将如何利用cookies追踪信息,如果不使用P3P标准,是不允许利用cookies来追踪用户信息的。但 Google称自己不喜欢这个W3C标准,于是冰雪聪明的他们找到了一个办法绕过IE 9的这个机制,使用不符合P3P标准的cookies来追踪用户信息──按理说这种cookies应该是被IE 9禁止的。

先拿microsoft.com网站cookies里的P3P部分代码来说,是这样的:

P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

其中每三位或四位的字母都代表一种动作,好告诉浏览器自己这个cookies要做什么。而Google的P3P部分是这么写的:

P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

声明自己不支持P3P政策,然后给出一个链接地址。

那么绕过P3P技术放置自己的追踪型cookies是否是正确的呢?在 W3C的3.2 政策这一章里明确写有P3P的规范

对于P3P无法精确描述网站动作的情况,网站应该使用最清晰的词汇术语对于cookies带来的后果写出自己的用户可以读的懂的政策,该政策不能是虚假的或产生歧义。

Google在自己的cookies里还真是给出了 一个链接地址,告诉用户为什么自己不支持P3P技术,然后 在这个链接里给出了 Google的隐私政策地址。但cookies里的文字其实是给浏览器去阅读的,一个正常的用户不会翻出各家cookies仔细阅读,但其实只有这个办法用户才会知道Google放置在IE 9里的cookies是不符合P3P规范的,这个声明其实完全毫无意义。

而对浏览器而言,Google的这个P3P声明部分会让浏览器认为Google的政策不会用于任何追踪目的,于是Google靠着这个小聪明就成功绕过了IE 9和W3C对P3P的规定,即不用给浏览器声明自己要做的动作,也不必告诉用户自己的追踪动作,然后还可以堂而皇之的追踪用户信息。

如果你希望了解更多IE关于cookies的控制,以及如何阻拦Google这个小聪明的cookies来追踪你, 可以参考微软的这篇博文

Via SAI


© musiXboy 发表于 谷奥——探寻谷歌的奥秘 ( http://www.guao.hk ), 2012. | 1 条评论 | 永久链接 | 关于谷奥 | 投稿/爆料
Post tags: , , , , , ,

相关 [ie google w3c] 推荐:

IE 9 也沦陷,Google 照样愚弄了 W3C 的技术规范利用 cookie 追踪用户

- - 谷奥——探寻谷歌的奥秘
Google的“cookies门”事件还没完, 就在微软隔岸观火幸灾乐祸一石二鸟之时, 突然发现自己的IE 9其实也中枪了,Google照样找到了自己的办法绕过IE 9的cookies设置,防止自己的追踪型cookies. IE 9的规范要求放置追踪型cookies的网站必须利用 W3C的P3P技术描述出自己将如何利用cookies追踪信息,如果不使用P3P标准,是不允许利用cookies来追踪用户信息的.

IE 浏览器说 Google 帐户登录界面不安全

- 瑠音北樟 - 谷奥——探寻谷歌的奥秘
感谢读者 crazyhmx 的爆料. 今天,许多人都发现了用内置了防钓鱼功能的IE 8、9浏览器无法登录Google帐户了,当你试图登录跳转到accounts.google.com的时候,IE浏览器说这个网站不安全,建议你不要继续(如上图). 尤其对于IE9用户来说,想登录Google帐户是完全没可能的了,除非换用其它浏览器.

W3C发布HTML5官方Logo

- David - Rologo.com 标志共和国
W3C(World-Wide Web Consortium,万维网联盟)在今天放出了HTML5的官方新Logo,并对最近的网络开发技术做出了新的解释. HTML5在过去一年左右的时间里 成为大家争论的焦点. 在Google的支持以及开发者们的热情追捧下,HTML5似乎已经成为了解决网络开发中任何问题的良药.

W3C完成HTML5.0定义

- - Solidot
W3C宣布公布HTML5和Canvas2D规格的完整定义. 虽然它们还没有成为W3C标准,但特性已经完成,这意味着企业和开发者可以根据目前的规格去实现和开发HTML5 Web应用. W3C称HTML5是开放Web平台的基石,为跨平台应用提供一个完整的编程环境. 根据W3C的发布计划,2012年底发布HTML5.0候选推荐规格,然后着手开发HTML5.1规格草案;2014年发布HTML5.0推荐规格和HTML5.1候选推荐规格.

Google Realated for Chrome 和 IE 发布,随时推送正在浏览的相关信息

- skymare - 谷奥——探寻谷歌的奥秘
Google Related目前以Chrome扩展的形式存在,同时也集成到了Google Toolbar for IE里. 在安装扩展之后,你只要随便打开一个网页,Google都会在页面下方显示出一个Google Related工具栏,这里会根据当前你浏览页面的信息推送给你相关内容,比如你浏览一个饭馆的网页,可能会推送你该饭馆的Google Maps地图、Google Places评论以及跟该饭馆口味类似的其它饭馆.

Google Realated for Chrome 和 IE 发布 随时推送正在浏览的相关信息

- Happe - cnBeta.COM
Google Related目前以Chrome扩展的形式存在,同时也集成到了Google Toolbar for IE里. 在安装扩展之后,你只要随便打开一个网页,Google都会在页面下方显示出一个Google Related工具栏,这里会根据当前你浏览页面的信息推送给你相关内容,比如你浏览一个饭馆的网页,可能会推送你该饭馆的Google Maps地图、Google Places评论以及跟该饭馆口味类似的其它饭馆.

3個 IE 9 專用工具:修護、改造、Google 工具列通通有

- Felix - T客邦
IE9 推出後,在操作介面、效能速度上都有很大的改進,不但在瀏覽器評比中得到不錯的成績,也奪下Windows 7中瀏覽器使用者的王座. 這裡介紹3個工具,包括 Google Toolbar、IE9 Tweaker Plus 2.0、IE Care Free,讓你的 IE9 更好用. 工具1:IE Care Free復原、清除各種疑難雜症.

W3C将开发P2P浏览器标准

- guangtao - cnBeta.COM
万维网联盟W3C今天透露,将制定一项直接让浏览器和浏览器之间对等通信的标准,而不需要中央服务器. 该标准可以减少认为干扰和嗅探,提高互联网络通信的可靠性,让浏览器可以实时运用P2P的特性传送内容,包括视频、音频和用于实时通信的“补充”.

W3C批评苹果专利HTML5技术

- ashuai - Solidot
苹果是W3C成员,根据W3C的专利政策,成员提供的技术必须免专利费,以确保Web标准可供任何人使用. 然而,苹果却专利了两项HTML5技术:专利申请号No.11/432,295和专利7,743,336. 苹果申请的专利是Widget Access Request Policy的核心组成,前者是移动应用的访问控制,后者是Widget安全.

IE 16岁了

- yuguichun123 - cnBeta.COM
Firefox 6正式版的发布引来了诸多关注,但悄无声息之中,Internet Explorer迎来了自己的16周岁生日――Mozilla,你才应该是送蛋糕的那个. 1995年8月16日(美国当地时间),微软发布了第一个版本的Internet Explorer. 其实,IE并不是微软完全自主开发的产品,而是花了200万美元购买Spyglass Mosaic浏览器的授权,然后修改而来.