Google обходит параметры конфиденциальности пользователей

Когда рабочей группе Internet Explorer стало известно, что компания Google обошла параметры конфиденциальности пользователей веб-браузера Safari, мы задали себе простой вопрос: обходит ли компания Google также и параметры конфиденциальности пользователей Internet Explorer. Мы обнаружили, что ответ на этот вопрос утвердительный: Google применяет похожие методы для обхода средств защиты конфиденциальности по умолчанию в Internet Explorer и для отслеживания пользователей Internet Explorer посредством файлов cookie. Ниже мы подробнее описываем, что именно нам удалось выяснить, а также приводим рекомендации для пользователей Internet Explorer по защите их конфиденциальных данных от механизмов Google с помощью компонента «Защита от слежения» Internet Explorer 9. Мы также обратились в саму компанию Google и попросили ее соблюдать параметры конфиденциальности спецификации P3P пользователей всех браузеров.

Мы выяснили, что компания Google обходит компонент защиты конфиденциальности P3P в Internet Explorer. Полученные сведения схожи с недавними отчетами об обходе компанией Google средств защиты конфиденциальности в веб-браузере Safari компании Apple, хотя в данном случае компания Google использует иной механизм обхода.

Internet Explorer 9 содержит дополнительный компонент обеспечения конфиденциальности под названием «Защита от слежения», который невосприимчив к данному типу обхода. Корпорация Майкрософт рекомендует клиентам, которые хотят защитить себя от обхода защиты конфиденциальности P3P компанией Google, использовать Internet Explorer 9 и, щелкнув по этой ссылке, добавить список защиты от слежения. Дополнительные списки и сведения клиенты могут найти на этой странице.

Предпосылки: Google обходит параметры конфиденциальности Apple

Недавно на первой полосе газеты Wall Street Journal появилась статья, описывающая, как «компания Google обошла параметры браузера компании Apple, отвечающие за обеспечение конфиденциальности». Редактор и генеральный директор сайта Business Insider, посвященного деловым новостям и аналитике, подвел итог сложившейся ситуации:

Компания Google тайно разработала методику обхода параметров конфиденциальности по умолчанию, установленных… конкурирующей компанией Apple… [и] затем применила эту методику, чтобы «подбрасывать» файлы cookie для отслеживания рекламы пользователям Safari, хотя именно это и пыталась предотвратить компания Apple.

Файлы cookie сторонних разработчиков часто применяются для отслеживания действий людей в Интернете. Браузер Safari защищает своих пользователей от такого типа слежения с помощью установленных по умолчанию пользовательских параметров, которые блокируют сторонние файлы cookie. Ниже приведена сводка от Business Insider:

По умолчанию Safari НЕ допускает помещение сторонних … файлов cookie на компьютеры пользователей без их на то разрешения. Именно такие файлы cookie для отслеживания рекламы заставляют многих пользователей Интернета беспокоиться по поводу нарушения их конфиденциальности, поэтому вполне понятно, что компания Apple решила заблокировать их по умолчанию.

Однако эти параметры по умолчанию вызвали проблемы у компании Google, по крайней мере для того направления ее коммерческой деятельности, которое связано с рекламой.

Подход Google к использованию сторонних файлов cookie вызывает побочный эффект в браузере Safari, который начинает считать такие файлы cookie основными.

Как это происходит в Internet Explorer

По умолчанию Internet Explorer блокирует сторонние файлы cookie, если только соответствующий сайт не предоставит утверждение о краткой политике P3P (P3P Compact Policy Statement), указывающее, как именно данный сайт будет использовать соответствующий файл cookie, и подтверждающее, что сайт не будет использовать этот файл для слежения за пользователем. Политика P3P Google вынуждает Internet Explorer принимать файлы cookie от Google, несмотря на то что в этой политике не заявлено о намерениях сайта Google.

Спецификация P3P, являющаяся официальной рекомендацией комитета по веб-стандартизации консорциума W3C, представляет собой веб-технологию, которую могут поддерживать все браузеры и сайты. С помощью спецификации P3P сайты описывают, как именно они намереваются использовать файлы cookie и сведения о пользователе. Благодаря поддержке P3P браузеры могут блокировать или разрешать файлы cookie, учитывая пользовательские параметры конфиденциальности касательно заявленных сайтом намерений.

Следует заметить, что пользователи не имеют непосредственного доступа к политикам P3P. Веб-сайты отправляют эти политики веб-браузерам напрямую, используя HTTP-заголовки. Описания P3P могут просматривать только технически подготовленные люди и только с помощью специальных средств, таких как инспектор cookie в средстве Fiddler. Ниже для примера приведено утверждение о краткой политике (Compact Policy, CP) спецификации P3P с сайта Microsoft.com:

P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

Каждый маркер (например, ALL, IND) имеет конкретное значение для веб-браузера, совместимого с протоколом P3P. Например, «SAMo» указывает на то, что «мы [сайт] обмениваемся сведениями с юридическими лицами в соответствии с установленными правилами», а «TAI» указывает на то, что «информация может использоваться для настройки или изменения содержимого или структуры сайта, на котором эта информация используется, только в рамках отдельного посещения сайта и не используется для любых форм последующей настройки». Аспекты конфиденциальности достаточно сложны, поэтому и сам стандарт P3P имеет соответствующий уровень сложности. Подробнее о спецификации P3P вы можете прочитать здесь.

С технической точки зрения компания Google использует один из нюансов спецификации P3P, который позволяет обходить пользовательские параметры для файлов cookie. В спецификации P3P (при попытке обеспечить возможность дальнейшего развития политик конфиденциальности) указано, что браузеры должны игнорировать любые неопределенные политики, с которыми они сталкиваются. Компания Google отправляет политику P3P, которая не уведомляет браузер об использовании файлов cookie и сведений о пользователе компанией Google. Фактически политика P3P Google представляет собой утверждение о том, что оно не является политикой P3P. Она предназначена для прочтения людьми, в то время как политики P3P предназначены для обработки браузерами: 

P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en\&answer=151657 for more info."

Браузеры, совместимые со спецификацией P3P, интерпретируют политику Google, как указывающую на то, что файлы cookie не будут использоваться ни в каких целях, в частности для слежения. Отправляя этот текст, компания Google обходит механизм защиты от файлов cookie, в результате чего ее сторонние файлы cookie не блокируются, а разрешаются. В спецификации P3P («4.2 Словарь краткой политики») описывается реализованный в Internet Explorer режим обработки неизвестных маркеров: «При появлении в краткой политике нераспознанного маркера ее семантика аналогична случаям, когда такой маркер отсутствует».

Следует также отметить раздел «3.2 Политики» из спецификации P3P:

3.2 Политики

В случаях, когда словарь P3P недостаточно точен для описания методик работы веб-сайта, сайтам следует использовать термины из словаря, наиболее близкие по смыслу к их методикам работы, и предоставить дополнительное разъяснение в поле CONSEQUENCE и/или в их политике, предназначенной для прочтения людьми. Однако политики НЕ ДОЛЖНЫ содержать ложных или вводящих в заблуждение утверждений.

Спецификация P3P разработана для поддержки сайтов, которые раскрывают свои намерения в отношении конфиденциальных данных. Использование спецификации P3P компанией Google не раскрывает эти намерения способом, предусмотренным данной технологией. 

В связи с указанными выше проблемами и постоянной работой над новыми механизмами слежения за пользователями без использования файлов cookie мы сосредоточили свое внимание на новой технологии защиты от слежения.

Последующие шаги

В результате проведения расследования в отношении данных, отправляемых компанией Google в Internet Explorer, мы получили подтверждение приведенных выше положений. В качестве меры противодействия на случай, если компания Google продолжит применять данную методику, мы создали список защиты от слежения, который пользователи Internet Explorer 9 могут добавить, щелкнув эту ссылку. Дополнительные списки и сведения клиенты могут найти на этой странице.

Исходное условие защиты от слежения в Internet Explorer 9 заключается в том, что серверы слежения ни при каких обстоятельствах не могут использовать файлы cookie или любой другой механизм для слежения за пользователем, если этот пользователь не отправляет на сервер слежения никаких данных. Такая логика определяет, почему защита от слежения полностью блокирует сетевые запросы. В настоящее время эта новая технология проходит процедуру стандартизации в консорциуме W3C.

В этой записи блога приведены дополнительные сведения о средствах управления файлами cookie в Internet Explorer и показано, как вы можете заблокировать все файлы cookie, поступающие с определенного сайта (например, *.google.com), независимо от того, являются ли они основными или сторонними. Данный способ блокировки файлов cookie не допускает обход с помощью используемых компанией Google методик. Тем пользователям, которые еще не перешли на использование Internet Explorer 9, мы рекомендуем выполнить действия, описанные в данной записи блога.

Учитывая этот практический опыт, мы изучаем, какие еще изменения можно внести в наши продукты. В спецификации P3P указано, что браузеры должны игнорировать неизвестные маркеры. Специалисты по вопросам защиты конфиденциальности, принимавшие участие в работе над исходной спецификацией, недавно предложили, чтобы Internet Explorer игнорировал данную спецификацию и блокировал файлы cookie с нераспознанными маркерами. В настоящее время мы активно изучаем потенциал такого образа действий.

― Дин Хэкамович (Dean Hachamovitch), корпоративный вице-президент, Internet Explorer

Comments

• Anonymous
  March 15, 2012
  Исходное условие защиты от слежения в Internet Explorer 9 заключается в том, что серверы слежения ни при каких обстоятельствах не могут использовать файлы cookie или любой другой механизм для слежения за пользователем, если этот пользователь не отправляет на сервер слежения никаких данных. Такая логика определяет, почему защита от слежения полностью блокирует сетевые запросы. В настоящее время эта новая технология проходит процедуру стандартизации в консорциуме W3C. ... В настоящее время эта новая технология проходит процедуру стандартизации в консорциуме W3C.