Microsoft oskarża Google'a

Gdy w ubiegłym tygodniu pojawiły się informacje, że Google obchodzi zabezpieczenia Safari mające chronić użytkowników przeglądarki przed śledzeniem, koncern tłumaczył, że miało miejsce nieporozumienie, a problem ograniczony jest tylko do przeglądarki Apple’a.

Teraz Dean Hachamovitch, odpowiedzialny w Microsofcie za rozwój Internet Explorera, informuje, że Google obchodzi zabezpieczenia prywatności użytkownika. W swoim blogowym wpisie Hachamovitch stwierdza: Gdy zespół IE dowiedział się, że Google obchodzi zabezpieczenia prywatności użytkownika Safari, zadaliśmy sobie proste pytanie: czy Google obchodzi też zabezpieczenia prywatności użytkowników Internet Explorera? Odkryliśmy, że odpowiedź brzmi - tak.

Hachamovitch wyjaśnia, że Google omija P3P (Platform for Privacy Preferences Project). To protokół, który pozwala witrynom na zadeklarowanie, w jaki sposób będą wykorzystywały informacje, które zbierają o użytkowniku. W IE cookies stron trzecich są domyślnie blokowane, chyba, że strona wyświetli informacje P3P na temat sposobu wykorzystywania danych o użytkowniku oraz zadeklaruje, że nie będzie śledziła użytkownika. Tymczasem, jak twierdzi Hachamovitch, stosowana przez Google’a polityka P3P (CP - compact policy) powoduje, że IE akceptuje cookies, nawet bez deklaracji dotyczących intencji koncernu.

Z wpisu wiceprezesa Microsoftu wynika, że Google oszukuje przeglądarkę, nadużywając opracowanego przez W3C standardu P3P. Blokowane są bowiem cookies z tych witryn, których twórca nie dodał do nagłówka specjalnego kodu dotyczącego polityki prywatności. Gdy taki kod znajduje się na witrynie, jest on sprawdzany przez przeglądarkę. Blokowany jest taki CP, który jest „niesatysfakcjonujący“ z punktu widzenia prywatności.

Firmy odkryły jednak, że można po prostu kłamać w CP. Okazało się ponadto, że błąd w IE powoduje, iż ustawienie nieważnego opisu powoduje ominięcie blokady.

Google ustawiło zatem następujący metatag: P3P:CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

Okazuje się jednak, że podobnie robi wiele dużych witryn. Badacze z Carnegie Mellon University odkryli tysiące witryn, które po prostu omijają politykę Internet Explorera. W Facebooku wygląda to tak: P3P:CP="Facebook does not have a P3P policy. Learn why here: http://fb.me/p3p".

Podobną sztuczkę stosował Amazon, jednak firma została pozwana przez jednego ze swoich klientów. Co prawda pozew oddalono, gdyż powód nie stwierdził, że odniósł jakąś szkodę, jednak koncern Bezosa ma już właściwą politykę P3P.

Witryny korzystające z tego typu sztuczek tłumaczą, że P3P i tak jest martwym standardem, a cookies pozwalają na pełne korzystanie ze wszystkich funkcji witryny.

Google nie zgadza się z zarzutami i odpiera oskarżenia Microsoftu.