1. YiiYcc's blog首页
  2. Google

IE 9 也沦陷,Google 照样愚弄了 W3C 的技术规范利用 cookie 追踪用户

IE 9 也沦陷,Google 照样愚弄了 W3C 的技术规范利用 cookie 追踪用户

Google的“cookies门”事件还没完,就在微软隔岸观火幸灾乐祸一石二鸟之时,突然发现自己的IE 9其实也中枪了,Google照样找到了自己的办法绕过IE 9的cookies设置,防止自己的追踪型cookies。

IE 9的规范要求放置追踪型cookies的网站必须利用W3C的P3P技术描述出自己将如何利用cookies追踪信息,如果不使用P3P标准,是不允许利用cookies来追踪用户信息的。但Google称自己不喜欢这个W3C标准,于是冰雪聪明的他们找到了一个办法绕过IE 9的这个机制,使用不符合P3P标准的cookies来追踪用户信息──按理说这种cookies应该是被IE 9禁止的。

先拿microsoft.com网站cookies里的P3P部分代码来说,是这样的:

P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

其中每三位或四位的字母都代表一种动作,好告诉浏览器自己这个cookies要做什么。而Google的P3P部分是这么写的:

P3P: CP="This is not a P3P policy! See https://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

声明自己不支持P3P政策,然后给出一个链接地址。

那么绕过P3P技术放置自己的追踪型cookies是否是正确的呢?在W3C的3.2 政策这一章里明确写有P3P的规范

对于P3P无法精确描述网站动作的情况,网站应该使用最清晰的词汇术语对于cookies带来的后果写出自己的用户可以读的懂的政策,该政策不能是虚假的或产生歧义。

Google在自己的cookies里还真是给出了一个链接地址,告诉用户为什么自己不支持P3P技术,然后在这个链接里给出了Google的隐私政策地址。但cookies里的文字其实是给浏览器去阅读的,一个正常的用户不会翻出各家cookies仔细阅读,但其实只有这个办法用户才会知道Google放置在IE 9里的cookies是不符合P3P规范的,这个声明其实完全毫无意义。

而对浏览器而言,Google的这个P3P声明部分会让浏览器认为Google的政策不会用于任何追踪目的,于是Google靠着这个小聪明就成功绕过了IE 9和W3C对P3P的规定,即不用给浏览器声明自己要做的动作,也不必告诉用户自己的追踪动作,然后还可以堂而皇之的追踪用户信息。

如果你希望了解更多IE关于cookies的控制,以及如何阻拦Google这个小聪明的cookies来追踪你,可以参考微软的这篇博文

发布者:yiiycc,转载请注明出处:https://yiiycc.com/posts/2249.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论列表(1条)

  • j0k3
    j0k3 2012-04-26 23:19

    整得好!!!

联系我们

+1-209-3155566

在线咨询:点击这里给我发消息

邮件:

工作时间:周一至周五,9:30-18:30,节假日休息