IE 9 也沦陷,Google 照样愚弄了 W3C 的技术规范利用 cookie 追踪用户
Google的“cookies门”事件还没完, 就在微软隔岸观火幸灾乐祸一石二鸟之时, 突然发现自己的IE 9其实也中枪了,Google照样找到了自己的办法绕过IE 9的cookies设置,防止自己的追踪型cookies。
IE 9的规范要求放置追踪型cookies的网站必须利用 W3C的P3P技术描述出自己将如何利用cookies追踪信息,如果不使用P3P标准,是不允许利用cookies来追踪用户信息的。但 Google称自己不喜欢这个W3C标准,于是冰雪聪明的他们找到了一个办法绕过IE 9的这个机制,使用不符合P3P标准的cookies来追踪用户信息──按理说这种cookies应该是被IE 9禁止的。
先拿microsoft.com网站cookies里的P3P部分代码来说,是这样的:
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"
其中每三位或四位的字母都代表一种动作,好告诉浏览器自己这个cookies要做什么。而Google的P3P部分是这么写的:
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
声明自己不支持P3P政策,然后给出一个链接地址。
那么绕过P3P技术放置自己的追踪型cookies是否是正确的呢?在 W3C的3.2 政策这一章里明确写有P3P的规范:
对于P3P无法精确描述网站动作的情况,网站应该使用最清晰的词汇术语对于cookies带来的后果写出自己的用户可以读的懂的政策,该政策不能是虚假的或产生歧义。
Google在自己的cookies里还真是给出了 一个链接地址,告诉用户为什么自己不支持P3P技术,然后 在这个链接里给出了 Google的隐私政策地址。但cookies里的文字其实是给浏览器去阅读的,一个正常的用户不会翻出各家cookies仔细阅读,但其实只有这个办法用户才会知道Google放置在IE 9里的cookies是不符合P3P规范的,这个声明其实完全毫无意义。
而对浏览器而言,Google的这个P3P声明部分会让浏览器认为Google的政策不会用于任何追踪目的,于是Google靠着这个小聪明就成功绕过了IE 9和W3C对P3P的规定,即不用给浏览器声明自己要做的动作,也不必告诉用户自己的追踪动作,然后还可以堂而皇之的追踪用户信息。
如果你希望了解更多IE关于cookies的控制,以及如何阻拦Google这个小聪明的cookies来追踪你, 可以参考微软的这篇博文。
Via SAI
© musiXboy 发表于 谷奥——探寻谷歌的奥秘 ( http://www.guao.hk ), 2012. |
1 条评论 |
永久链接 |
关于谷奥 |
投稿/爆料
Post tags: Google Company, Google Fail, IE, Microsoft, P3P, privacy, W3C