·设为首页
·联系站长
·加入收藏
 位置: IT外包服务提供商 >> 文章频道 >> 新闻中心 >> 行业新闻 >> 正文 当前没有通告!
  谷歌绕过用户隐私设置    3星级
谷歌绕过用户隐私设置
[ 作者:bianhongjin     来源:IT外包     点击数:1476     更新时间:2013-1-5     文章录入:bianhongjin
【字体: 字体颜色
迪安·哈查莫维奇(Dean Hachamovitch),微软IE浏览器部门企业副总裁

当IE团队听说谷歌绕过了Safari浏览器上的用户隐私设置后,我们问了自己一个简单的问题:谷歌是否也绕过了IE用户的隐私首选项?我们发现,答案是肯定的。谷歌正采用同样的方式绕过IE的默认隐私保护措施,利用cookies跟踪IE用户的浏览习惯。下面我们将详细说明我们的发现,并就IE用户如何使用IE9的“跟踪保护”(Tracking Protection)功能避免隐私遭谷歌窥探提出建议。我们已联系了谷歌,要求他们务必尊重所有浏览器用户的P3P隐私设置。

我们发现,谷歌绕过了IE中的P3P隐私保护功能。尽管实际采用的规避方式有所不同,但其后果与最近报道的谷歌绕过苹果Safari浏览器的隐私保护设置是相似的。

IE9 带有一个称为“跟踪保护”的附加隐私保护功能,不会被此类规避方式轻易绕过。微软建议,希望避免自己的隐私因谷歌绕过P3P隐私保护而被窥探的用户应使用IE9,并点击这里添加“跟踪保护列表”。用户可以在这里找到更多列表和信息。

背景:谷歌绕过苹果的隐私设置

《华尔街日报》最近在头版撰文描述谷歌如何“绕过苹果浏览器的隐私保护设置”。商业新闻及分析网站商业内幕网站(Business Insider)的编辑兼首席执行官将情况总结如下:

谷歌秘密开发了一种规避方法,绕过了其竞争对手苹果公司的默认隐私设置,然后利用这种方法向Safari用户植入广告追踪cookie,而这种做法正是苹果试图阻止的。

第三方cookie是用于跟踪人们在线活动的常见机制。 Safari浏览器通过阻止第三方cookie的默认用户设置来避免用户被跟踪。Business Insider概述如下:

在默认设置下,Safari浏览器不允许第三方cookie在未经许可的情况下保存至用户的计算机上。很多互联网用户担心这些广告跟踪cookie会侵犯其隐私,因此,苹果决定默认阻止这些cookie是可以理解的。

但这些默认设置给谷歌带来了问题,至少影响了其广告业务目标的实现。

谷歌对第三方cookie的处理方式导致Safari浏览器把第三方cookie当作了第一方cookie。

IE遭遇的情况

在默认设置下,IE会阻止第三方cookie,除非该网站提交了“P3P简洁策略声明”(P3P Compact Policy Statement),说明网站将如何使用cookie,并声明网站对cookie的使用不包括跟踪用户。由于谷歌提交了P3P策略声明,IE接受了谷歌的cookie,但在策略声明中谷歌并未说明其意图。

P3P是W3C Web标准组织官方推荐的Web技术,所有浏览器和网站均能支持该技术。网站使用P3P来说明将如何使用cookie和用户信息。支持P3P的浏览器可根据网站申明的意图阻止或允许cookie,以尊重用户的隐私首选项。

值得注意的是,用户无法轻易访问P3P策略。网站利用HTTP标头把这些策略直接发送到Web浏览器,而P3P描述必须由精通技术的人使用Fiddler工具中的cookie查看器等专用工具才能看到。例如,下面是Microsoft.com的P3P简洁策略(CP)声明:

对P3P兼容Web浏览器而言,每个符号(如ALL, IND)都有特定的含义。例如,“SAMo”表示“我们[网站]按照我们的惯例与合法实体共享信息”,“TAI”表示“信息可能会用于调整或修改网站的内容和设计,且信息仅用于网站单次访问,不用于今后任何形式的定制访问”。隐私条款的细节很复杂,P3P标准也很复杂。点击这里阅读更多有关P3P的信息。

从技术上讲,谷歌利用P3P规范中的细微差别绕过了用户的cookie首选项设置。根据P3P规范(试图为将来隐私策略的改进留出余地),浏览器在遇到任何未定义的策略时应予以忽略。谷歌发送的P3P策略并未告知浏览器谷歌将如何使用cookies和用户信息,这表明它非真正意义上的P3P策略。谷歌的P3P策略面向的读者是人,而P3P策略的初衷却是供浏览器“阅读”:

P3P: CP=“这不是P3P策略!更多信息请见 http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657

P3P兼容浏览器把谷歌的策略解读为cookie不会用于跟踪或任何其他目的。通过发送这样一份文本,谷歌绕过了cookie保护,使其第三方cookie不受阻止,得以被放行。处理未知符号时,P3P规范(“4.2 简洁策略词汇”)会调取IE已实施的行为:“如果简洁策略中出现无法识别的符号,则该简洁策略仍保持原有语义,视这些符号并未出现。”

同样,P3P规范中的“3.2 策略”部分也值得注意:

3.2 策略

如果P3P词汇不足以精确描述网站惯例,网站则应使用最能反映其惯例的词汇,并在CONSEQUENCE字段或供人阅读的策略中作出进一步解释。但策略中不得有虚假或误导性陈述

P3P旨在支持网站表达其对待用户隐私的意图,而谷歌在使用P3P时并没有采取与技术一致的方式表达这些意图。

鉴于上述问题,以及不涉及cookie的新型用户跟踪机制的不断发展,我们将重点关注新的跟踪保护技术。

后续措施

在调查了谷歌发送给IE的内容之后,我们证实了上面的描述。我们已经提供了一个“跟踪保护列表”,如果谷歌继续使用这类规避方式,IE9用户可以点击这里添加保护,并可在此页面找到更多列表和信息。

IE9“跟踪保护”的前提是,如果用户从不向跟踪服务器发送任何信息,那么任何跟踪服务器都永远没有机会利用cookie或任何其他机制来跟踪用户。基于这一逻辑,“跟踪保护”能够完全阻止网络请求。目前W3C正在对这种新的技术方法进行标准化。

这篇博客包含了关于IE浏览器cookie控制的其他信息,并展示了如何阻止特定网站(如*.google.com)的所有cookie,无论是第一方还是第三方cookie。这种阻止cookie的方法不会受到谷歌规避方式的影响,我们建议还未使用IE9的用户采取本文所述的措施。

鉴于这种现实情况,我们正在研究我们的产品还应做出哪些改动。P3P规范指出,浏览器应忽略未知符号。参与制定初版P3P规范的隐私权保护倡导者最近建议IE浏览器忽略此规范,并阻止带有无法识别的符号的cookie,我们也正在积极研究这一做法。

编辑:北京信诚www.xcitbm.com>IT保姆www.xcitbm.com>IT外包部 http://www.xcitbm.comwww.xcit.com.cn

  • 上一篇文章: 苍井空联合360手机助手首发个人APP

  • 下一篇文章: 苍井空联合360手机助手首发个人APP
  • 发表评论   告诉好友   打印此文  收藏此页  关闭窗口  返回顶部
     最新5篇热点文章
     联想固态硬盘SL700在BIOS里...
     IT外包首选我们的八大理由...
     中国劳科院与我公司续签了...
     中共中央政治局常务委员会...
     北京IT外包服务联盟知行社...
     
     最新5篇推荐文章
     0x000000ce蓝屏解决方案
     HP 706n 打印机打印A3纸的...
     什么是网络瓶颈?
     网线质量不好有什么影响?...
     蓝屏提示0x0000006B
     
     相 关 文 章

      网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!)
  • 这篇文章还没有任何评论。
  • ::发表评论::
    姓名:  *  Email: * 
    评分:10  20  30  40  50  60  70  80  90  100