Microsoft opent privacyaanval op Google

Microsoft beschuldigt Google ervan een privacyprotocol in Internet Explorer te omzeilen. De twijfelachtige beschuldiging volgt op het nieuws dat Google een loophole in de privacybescherming van de Safari-browser heeft misbruikt.

In een blogpost op MSDN schrijft Microsoft dat Google een privacyprotocol van de W3C omzeilt. De post is geplaatst naar aanleiding van het nieuws dat Google de privacybescherming van Safari omzeilde. Google bleek op een creatieve manier toch third party-cookies te plaatsen, terwijl Safari dat standaard blokkeert.

Ook de post van Microsoft gaat over third party-cookies. Internet Explorer laat alleen bepaalde third party-cookies toe als een website het p3p-protocol van het World Wide Web Consortium ondersteunt, door het meesturen van een http-header waarin het privacybeleid wordt aangegeven. Sites die beloven geen persoonlijke informatie naar derden door te sluizen en een opt-out aanbieden, mogen toch third party-cookies plaatsen. Die worden vaak gebruikt door adverteerders.

Volgens Microsoft manipuleert Google het p3p-protocol om toch identificerende third party-cookies te plaatsen, namelijk door een ongeldige p3p-header mee te sturen. Internet Explorer staat bij een ongeldige p3p-header toch third party-cookies toe. Die claim klopt op papier; een p3p-header hoort volgens de specificatie te bestaan uit vastgestelde keywords, die door een browser kunnen worden uitgelezen, terwijl die van Google bestaat uit een disclaimer en een url. Daardoor is de p3p-header niet geldig en worden cookies geaccepteerd.

Op de claim van Microsoft kan echter het een en ander worden afgedongen. Zo is Google een van de vele websites die het p3p-protocol niet ondersteunen. Ook Facebook, waarin Microsoft een minderheidsaandeel heeft, negeert het protocol. In zijn p3p-header geeft Google dat ook letterlijk aan:

P3P => CP="This is not a P3P policy!
See http://www.google.com/support/accounts/bin/answer.py?
hl=en&answer=151657 for more info."

Op de url waarnaar wordt verwezen schrijft Google dat het soms cookies vanaf een ander domein moet plaatsen om een gebruiker te authenticeren, bijvoorbeeld bij de Google+-knoppen. Daarvoor moet namelijk wel degelijk persoonlijke informatie worden verzonden. Het p3p-protocol, dat dateert uit 2002, houdt daar geen rekening mee, schrijft Google.

Daar komt bij dat Internet Explorer de enige veelgebruikte browser is die het p3p-protocol ondersteunt. Dat het protocol feitelijk geen enkele privacybescherming biedt, is al jaren bekend. Mozilla verwijderde de ondersteuning voor p3p al in 2003 en ook IBM, dat het protocol oorspronkelijk ontwikkelde, heeft zich tegen het protocol uitgesproken. Vanwege de slechte ondersteuning heeft het W3C besloten om verdere ontwikkeling van het protocol stop te zetten.

Google-woordvoerder Rachel Whetstone laat in een verklaring weten dat de p3p-specificatie geen rekening houdt met nieuwe functionaliteit waarvoor cookies worden ingezet, zoals de Like-buttons van Facebook. Whetstone doet het protocol af als een functionaliteit van Internet Explorer die feitelijk niet wordt ondersteund.

Wie overigens toch third party-cookies wil blokkeren in Internet Explorer, kan in nieuwe versies de do not track-optie inschakelen. Microsoft zegt te onderzoeken of het zijn implementatie van de p3p-specificatie wellicht gaat aanpassen, zodat het sites met ongeldige p3p-headers alsnog onmogelijk wordt gemaakt om third party-cookies te plaatsen. Internet Explorer ondersteunt p3p sinds versie 6.

IT-banen

Reacties (133)

hellknight

21 februari 2012 13:24

ik moet zeggen dat het ArsTechnica artikel hierover erg interessante informatie heeft, welke ik hier mis:
Er wordt verwezen naar een onderzoek door Carnegie Mellon uit 2010, waaruit blijkt dat:
- 1/3 van de onderzochte sites (11K van de 33K onderzochte sites) de P3P functie van IE omzeilt
- diverse sites van Microsoft zelf ongeldige P3P policy statements gebruiken (live.com, msn.com)
- Een support-site van Microsoft rondom P3P zelf het gebruik van ongeldige P3P statements aanraad als work-around

Zeker als #2 en #3 kloppen, is deze actie van Microsoft op zijn zachtst gezegd nogal schijnheilig.

[Reactie gewijzigd door hellknight op 23 juli 2024 04:05]

mugenmarco 21 februari 2012 10:57

is het niet zo dat google het hele p3p-protocol niet ondersteund? hoe denkt microsoft hiermee verder te willen komen dan.

Verwijderd @mugenmarco • 21 februari 2012 11:32

is het niet zo dat google het hele p3p-protocol niet ondersteund? hoe denkt microsoft hiermee verder te willen komen dan.

IE blokkeert 3rd party cookies als je geen p3p privacy protocol publiceert naar IE.

Daarom heeft google (en ook facebook) nu dus een niet standaardsconforme implementatatie van p3p gemaakt zodat IE wel 3d party cookies doorgeeft aan Google terwijl Google toch niet een valide P3P policy string heeft waarin ze bekend maken wat ze met die cookies doen.

Let wel dat als Google wel volgens de P3P standaard zou doorgeven wat ze met cookies informatie doen dat ze daar vrijwel zeker ook dan ook juridisch aan gebonden zouden zijn.
Dus als ze dan aan IE zouden melden dat ze bepaalde informatie uity een cookie niet zullen gebruiken (om IE die cookie te laten vrijgeven) dan mogen ze daar ook niks mee of ze lopen kans op een class action rechtszaak.

Door een opzettelijk invalide implementatie van P3P te maken voorkomt Google dat ze een juridisch bindende implementatie maken van de standaard en kunnen ze toch alle informatie in 3rd cookies gebruiken ook al heeft een IE gebruiker dat in hun privacy level setting niet toegestaan.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:05]

Supremo @Verwijderd • 21 februari 2012 12:08

Zoals wel vaker beweerd is, is IE dus zo lek als een mandje. Wanneer je een ongeldige P3P header krijgt, dan moet het toch niet mogelijk zijn dat P3P wel werkt?

Overigens is het ook niet netjes van Google om cookies te plaatsen, terwijl de gebruiker aangegeven heeft dat hij dat niet wil. Het excuus dat de +1 knoppen dan niet meer werken moet ik me nog in verdiepen.

Kenhas @Supremo • 21 februari 2012 12:47

Dus volgens jou is dit een lek in IE ? Er staat toch duidelijk dat het zo bepaald is in de specificatie van het protocol? Wordt er een ongeldige header gestuurd, dan moet het plaatsen van die cookies toegestaan worden.

Dan is IE eens juist, dan wordt het nog beschouwd als een lek

kimborntobewild @Kenhas • 21 februari 2012 19:24

Er staat toch duidelijk dat het zo bepaald is in de specificatie van het protocol?

Dan is dat protocol dus lek. En daarmee ook gelijk elke browser die dat protocol ondersteunt.

aikebah @Kenhas • 22 februari 2012 00:18

Dus volgens jou is dit een lek in IE ? Er staat toch duidelijk dat het zo bepaald is in de specificatie van het protocol?

Dat staat er dus niet, en dat is ook niet het geval. IE heeft wel degelijk een lek en volgt het protocol NIET. Want in paragraaf 6.4 van het protocol staat het letterlijk:

P3P user agents MUST NOT rely on P3P compact policies that do not comply with the P3P 1.0 or P3P 1.1 specifications or are obviously erroneous. Such compact policies SHOULD be deemed invalid and the corresponding cookies should be treated as if they had no compact policies

IE behandeld ze alsof ze 'user accepted policies' volgen.

Bron: http://www.w3.org/TR/P3P11/#ua_compact

Verwijderd @Supremo • 21 februari 2012 12:44

Dit heeft niets met lek zijn te maken maar wel met p3p en het fijt of je iets vertouwt of niet.mdenk er maar eens rustig over naa....

kimborntobewild @Supremo • 21 februari 2012 19:25

Het excuus dat de +1 knoppen dan niet meer werken moet ik me nog in verdiepen.

Als je je daar nog moet in verdiepen en dus niet meteen ziet dat zoiets per definitie een ongeldig argument is...

Rey Nemaattori @Verwijderd • 22 februari 2012 10:01

[...]
IE blokkeert 3rd party cookies als je geen p3p privacy protocol publiceert naar IE.

Daarom heeft google (en ook facebook) nu dus een niet standaardsconforme implementatatie van p3p gemaakt zodat IE wel 3d party cookies doorgeeft aan Google terwijl Google toch niet een valide P3P policy string heeft waarin ze bekend maken wat ze met die cookies doen.

Let wel dat als Google wel volgens de P3P standaard zou doorgeven wat ze met cookies informatie doen dat ze daar vrijwel zeker ook dan ook juridisch aan gebonden zouden zijn.
Dus als ze dan aan IE zouden melden dat ze bepaalde informatie uity een cookie niet zullen gebruiken (om IE die cookie te laten vrijgeven) dan mogen ze daar ook niks mee of ze lopen kans op een class action rechtszaak.

Door een opzettelijk invalide implementatie van P3P te maken voorkomt Google dat ze een juridisch bindende implementatie maken van de standaard en kunnen ze toch alle informatie in 3rd cookies gebruiken ook al heeft een IE gebruiker dat in hun privacy level setting niet toegestaan.

Anderzijds zou ik vooral boos worden op mijn slotenmaker en niet alleen op de inbreker, wanneer de deur van het slot springt als iemand een ongeldige sleutel in het slot steekt?

Sure Google is niet zuiver bezig door opzettelijk het systeem te omzeilen, maar IE is diegene die tóch cookies toestaat omdat ze enkel kijken of er een header is, niet of deze ook correct is. In plaats van te wijzen naar Google, zouden ze die tijd moeten nemen om 't probleem op te lossen...

Gert @mugenmarco • 21 februari 2012 11:10

Niet ondersteunen is wat anders dan een ongeldige reply sturen.

fifarunnerr @Gert • 21 februari 2012 12:58

Zoals Google dan ook zegt en in T.net staat: Als ze dat niet doen dan werken de +1 knoppen niet meer. Aangezien die knoppen(net als de Like-knop) best veel gebruikt worden wil Google(en Facebook) zorgen dat die blijven werken, en daarom moeten ze het zo omzeilen.
Natuurlijk is dat niet netjes, maar gebruikers vinden het ook niet leuk als functionaliteit niet werkt omdat die functie (standaard??) aan staat.

Dit is zo'n P3P van Microsoft:

P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

Al die dingen hebben volgens MS een eigen betekenis. IE accepteert blijkbaar dus alles wat er tussen staat.
En omdat P3P geen rekening houd met +1 en Like-achtige buttons, konden ze waarschijnlijk niet in P3P-taal neerzetten waar ze het voor nodig hadden. Dus daarom hebben ze een link erbij gezet waar ze het voor nodig hebben.

arjankoole

Beveiliging

@fifarunnerr • 21 februari 2012 15:05

Zoals Google dan ook zegt en in T.net staat: Als ze dat niet doen dan werken de +1 knoppen niet meer

Dat is hun probleem. Of: ze zorgen dat de P3P header klopt, of ze kappen met het breken van een standaard.

mxcreep @arjankoole • 21 februari 2012 17:28

Hoe kan iets nou een standaard zijn als niemand het verder ondersteund, alleen Microsoft blijft blijkbaar krampachtig vasthouden aan deze 'standaard'.

Ik vind het prima als google stopt met deze headers hoor, gebruik zelf IE toch alleen maar bij een nieuwe installatie om meteen een andere browser te downloaden.

[Reactie gewijzigd door mxcreep op 23 juli 2024 04:05]

Superstoned @arjankoole • 21 februari 2012 15:57

Nee, het is een gebruikers probleem wat veroorzaakt wordt door een brakke browser die een brakke standaard uit 2002 gebruikt. En Microsoft en Apple gebruiken dit gewoon met plezier om een beetje Google-pesten te doen want Google doet het een beetje te goed met Android en andere zooi.

Ondertussen is het natuurlijk pot verwijt de ketel - en dan nog zo dat Google het qua privacy enzo nog steeds vele malen beter doet dan Microsoft of Apple.

kimborntobewild @fifarunnerr • 21 februari 2012 19:21

Zoals Google dan ook zegt en in T.net staat: Als ze dat niet doen dan werken de +1 knoppen niet meer. Aangezien die knoppen(net als de Like-knop) best veel gebruikt worden wil Google(en Facebook) zorgen dat die blijven werken, en daarom moeten ze het zo omzeilen.
Natuurlijk is dat niet netjes, maar gebruikers vinden het ook niet leuk als functionaliteit niet werkt omdat die functie (standaard??) aan staat.

Wat heeft 't ermee te maken of je gebruikers iets niet leuk zouden vinden? Dat (an sich) is geen geldig argument. Dat zou mooi wezen... Bedrijven konden dan zo'n beetje doen wat ze maar zouden willen, zolang hun gebruikers het maar willen.

Als ze dat niet doen dan werken de +1 knoppen niet meer.

Die horen ook niet te werken als iemand cookies uit heeft staan.

Aangezien die knoppen(net als de Like-knop) best veel gebruikt worden wil Google(en Facebook) zorgen dat die blijven werken, ...

Wederom een ongeldig argument. Hoevaak iets gebruikt wordt, zegt helemaal niks over de legaliteit van truukjes om iets te omzeilen zodat betreffende zaken gebruikt kunnen blijven worden,.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 04:05]

Blokker_1999

Websites en community's
Microsoft
Privacy
Browsers
Google

@mugenmarco • 21 februari 2012 11:07

Dan kan men zich wel afvragen waarom Google een p3p response stuurt als er toch geen ondersteuning is. Misschien net omdat ze weten van dit probleem?

EvilWhiteDragon @Blokker_1999 • 21 februari 2012 11:33

Geloof je het zelf? Sorry hoor, maar je ondersteund een protocol niet, maar stuurt toch een header die wel in het formaat van dat protocol geschreven is en die vervolgens bogus data bevat. Dat, het Safari verhaal en het feit dat Google zijn geld verdiend aan persooonsprofielen zorgt er voor dat ik in ieder geval niet geloof dat dit per ongeluk is.

Zeker bij google zouden zich tch vast ook wel bewust zijn van de enorme hoeveelheid extra bandbreedte die ze dit kost, voor iets war "ze niet ondersteunen". Net als het opslaan van WiFi data, dat ging ook "per ongeluk". Toch lijkt het mij dat zulke dingen op moeten vallen, zoveel meer data.

Nee, google heeft geen goed trackrecord op dit gebied en heeft daar ook weinig reden toe, immers meer privacygevoelige gegevens is goed voor de business.

David Mulder @EvilWhiteDragon • 21 februari 2012 13:33

Als google het niet ondersteunt en alleen als 'out-of-date functionaliteit' ziet die 'niet serieus gesupport is', dan is het echt niet zo vreemd dat je je om dat 'probleem' zoals Blokker_1999 het omschrijft werkt... op zich niks mis mee an sich. Ik zou het erger gevonden hebben als ze valse informatie zoude hebben gezonden (tenminste, als die informatie aan de gebruiker wordt getoond), maar om technologie gewoon te benutte is redelijk normaal. Als ik bijvoorbeeld shared webworkers gebruikte in een applicatie om cross tab communicatie te bewerkstellige, of bij 1 van de vorme van long polling er als ik goed herinner ook foutieve headers worden gestuurd is daar ook niks mis mee an sich. Het *echte* probleem/issue zit er in wat Google zelf al dan niet doet wat betreft privacy... en daar kan van alles mis mee zijn, maar om gewoon functionaliteit zo werkend te krijgen als ze het zich voorstelle... dat is alleen normaal/netjes wat mij betreft.

-=bas=- @David Mulder • 21 februari 2012 13:55

Hoe naief kan je zijn...

Het is moedwillig misbruiken van onvolkomenheden en Google wist dondersgoed wat ze aan het doen waren anders zouden ze nooit zo'n achterlijke P3P string uitsturen.
Ook bij 'Dont do evil'-Google geldt dat alle middelen toegestaan zijn als het neerkomt op verzamelen van persoonsinformatie.

arjankoole

Beveiliging

@-=bas=- • 21 februari 2012 15:04

don't be evil bij google, moet je dan ook lezen als: "don't get caught being evil"

Superstoned @-=bas=- • 21 februari 2012 15:54

Hey, google wil gewoon dat hun sites werken. Als je op je website een G+ button hebt staan (of een Facebook knop) dan moeten die werken, lijkt me. En daarvoor zijn die cookies nodig. Ik zou zelf Safari niet willen upgraden wanneer de nieuwe versie me gaat dwingen op elke site waar ik +1 klik in te loggen. Privacy my ass, dat is gewoon Apple (en in dit artikel MS) die graag Google dwars zitten.

kimborntobewild @Superstoned • 21 februari 2012 19:11

Hey, google wil gewoon dat hun sites werken. Als je op je website een G+ button hebt staan (of een Facebook knop) dan moeten die werken, lijkt me. En daarvoor zijn die cookies nodig.

Onzin. Als cookies daarvoor nodig zijn, dan moeten die knoppen niet standaard werken als iemand cookies uit heeft staan! Het is niet voor niets, als iemand geen cookies wilt. Google besluit een backdoor te gebruiken die in Internet Explorer zit. Zowel Google als Microsoft zijn hier schuldig, wat mij betreft.

Hey, google wil gewoon dat hun sites werken.

Hey, malwaremakers willen gewoon dat hun malware werkt. Is dat dan plots een reden om het goed te keuren als ze daar sneaky middelen voor aanwenden zodat die malware alsnog werkt?

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 04:05]

ZpAz

@kimborntobewild • 21 februari 2012 19:51

Je moet wel begrijpen dat dit om Google gaat, Apple en Microsoft zijn hier overduidelijk de bad guys.

Nee, het is een gebruikers probleem wat veroorzaakt wordt door een brakke browser die een brakke standaard uit 2002 gebruikt. En Microsoft en Apple gebruiken dit gewoon met plezier om een beetje Google-pesten te doen want Google doet het een beetje te goed met Android en andere zooi.

Privacy my ass, dat is gewoon Apple (en in dit artikel MS) die graag Google dwars zitten.

Volgens mij gewoon weer een tactiek van microsoft om de wereld te laten zien dat Google evil is.

Google heeft daarom een andere markt aangeboord en zijn daar de beste geworden. Microsoft lijkt dit nog steeds niet te kunnen verkroppen en gaat daarom met modder gooien.

En zo kan ik er nog wel meer uit dit topic plukken.

[Reactie gewijzigd door ZpAz op 23 juli 2024 04:05]

geez @EvilWhiteDragon • 21 februari 2012 23:28

Dat is precies wat Blokker probeert aan te geven

Lees zijn bericht nog eens.

Het zijn redelijk vieze truukjes die Google hier uithaalt. En ze komen ermee weg, omdat ze de reputatie te hebben de neutrale 'good guy' te zijn.

Net als het third-party-cookie verhaal bij Safari is dit iets dat expliciet toegevoegd moet zijn om dit resultaat te hebben, dus Google kan ontkennen wat men wil maar de feiten spreken ze tegen naar mijn mening. Anderzijds natuurlijk een slecht idee van Microsoft om de P3P standaard nog geimplementeerd te hebben, maar dat legt de schuld nog niet bij ze en ik ben het ermee eens dat ze wel degelijk een punt hebben t.a.v. Google.

SKiLLa @Blokker_1999 • 21 februari 2012 11:34

Juist. Als Google het P3P niet ondersteunt, moeten ze geen P3P policy-bestand plaatsen op de website, maar gewoon de policy weglaten. Door wel een bestand te plaatsen, maar dan met non-conforme P3P content 'dit is geen policy' omzeilen ze expliciet de hele P3P policy. En dat is niet netjes ...

Verwijderd @SKiLLa • 21 februari 2012 11:59

Bovendien bevat de P3P standaard een CONSEQUENCE field waarin ze hun statement kwijt kunnen maar die gebruiken ze bij Google en Facebook juist expliciet niet.

ianman @mugenmarco • 21 februari 2012 11:47

Volgens mij gewoon weer een tactiek van microsoft om de wereld te laten zien dat Google evil is. Net als toen ze begonnen over al die patentschendingen wat op niks gebaseerd was. Microsoft kan niet zo goed tegen concurentie dus ipv betere producten maken, gaan ze dit soort acties uitvoeren....just my two cents worth.

Verwijderd @ianman • 21 februari 2012 12:03

Het lijkt me logisch dat Microsoft dit publicitair gebruikt om te laten zien dat Google privacy standaarden negeert en zelfs opzettelijk omzeilt.

Maar Google kiest er zelf voor om de Safari browsergebruikers te misleiden, kiest er zelf voor om een invalide W3C standaard implementatie te maken om IE browsergebruikers te misleiden en kiest er ook zelf voor om de "Do Not Track" setting van Firefox gebruikers te negeren.

blouweKip @Verwijderd • 21 februari 2012 13:14

De vraag is of het kwaadwillendheid is of dat het genuanceerder is.
MS lijkt me in ieder geval nu niet bepaald een partij die over dit soort zaken kan klagen dus dit lijkt me vooral karakter-assasination in de aanval die men o.a met patenten al tegen google voert.

Verwijderd 21 februari 2012 11:07

@sweetpet1987
Dat Google het p3p protocol niet ondersteund staat ook in het bericht. IE is de enige browser op het moment die het gebruikt, terwijl het geen enkele meerwaarde heeft.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:05]

Verwijderd @Verwijderd • 21 februari 2012 11:38

Als Google het P3P protocol niet ondersteunt moeten ze niet een nep P3P string in hun site inbouwen om een browser te misleiden die de W3C standaard wel ondersteunt.

Vorige week werd al bekend dat Google de privacy setting van de Safari browser omzeilde om iOS en OS X gebruikers tegen hun wil te tracken.

Het is dus een structurele houding bij Google.
Ze ondersteunen bij Google ook niet de door Mozilla en Microsoft voorgestelde nieuwe privacy protocollen om gebruikers meer bescherming te bieden tegen tracking.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 04:05]

Loller1

Microsoft
Browsers

@Verwijderd • 21 februari 2012 11:59

Het is dus een structurele houding bij Google.
Ze ondersteunen bij Google ook niet de door Mozilla en Microsoft voorgestelde nieuwe privacy protocollen o gebruikers meer bescherming te bieden tegen tracking.

Wat had je gedacht? Google schend nog liever de privacy van zijn gebruikers dan dat het zij geld moet afgeven.

RielN @Loller1 • 21 februari 2012 17:04

Google schendt geen privacy.

Loller1

Microsoft
Browsers

@RielN • 21 februari 2012 18:05

Iemand heeft het artikel niet gelezen.

Dat had je vrijdag ook nog dat artikel over Safari, waarin Google exact hetzelfde bleek te doen. Dan hadden we natuurlijk ook nog al die rechtzaken vanwegen StreetView die zonder goede reden draadloze internet aftapte opzoek naar data. En Chrome die de computer zoveel mogelijk probeerd te indentificeren. En ga zo maar door.

ReneX @Verwijderd • 21 februari 2012 11:34

Niet ondersteunen betekend dat je ook geen P3P headers gebruikt.
Google gebruikt die headers wel, maar niet volgens de standaard.

Men misbruikt het protocol dus om in IE iets gedaan te krijgen.

Vergelijk het met een stikker 'geen reclame' op je brievenbus - en vervolgens schuift men alles onder de deur door

fdm391 @ReneX • 21 februari 2012 12:38

Een betere vergelijking is de folders in een envelop stoppen en die alsnog door de brievenbus te gooien. Verder wel leuk gevonden

mystic101 @ReneX • 21 februari 2012 14:32

Vergelijk het met een stikker 'geen reclame' op je brievenbus - en vervolgens schuift men alles onder de deur door

Niet helemaal. In dit geval heeft de aannemer de stikker geplaatst zonder medeweten van de bewoner en allee zichtbaar voor de postbode, met als gevolg dat de bewoner zijn favoriete post niet kan ontvangen.

EvilWhiteDragon @Verwijderd • 21 februari 2012 11:37

Het heeft weldegelijk meerwaarde. Wat nu gaat gebeuren is dat third-party cookies waarschijnlijk altijd geblokt gaan worden door IE, ook degene die werkelijk behulpzaam waren in plaats van alleen voor ads werden gebruikt.

eborn @EvilWhiteDragon • 21 februari 2012 12:13

Dat gaat Microsoft nooit doen. Voor normale gebruikers werken opeens dingen niet meer die eerst normaal waren. Daarnaast geloof ik nooit dat Microsoft zelf geen gebruik maakt van 3rd party cookies. Volgens mij hebben ze genoeg diensten waarvoor dit 'nuttig' is. Als ze het voor iedereen behalve zichzelf uitschakelen hebben we weer andere problemen.

HansvDr 21 februari 2012 11:34

Microsoft moet gewoon even de standaard tracking protection wat zwaarder zetten.

Geen Google Addsense en Analytics meer.

Verwijderd @HansvDr • 21 februari 2012 11:56

Of je voegt de Google tracking sites toe aan je tracking protection

Hier vind je een tracking protection list die alle Google tracking sites in IE9 en hoger blokkeert: http://ie.microsoft.com/testdrive/browser/p3p/

Blaise @Verwijderd • 21 februari 2012 22:00

En hier vind een plugin voor de meestgebruikte browsers die alle tracking websites blokkeert: http://www.ghostery.com/

Loller1

Microsoft
Browsers

@HansvDr • 21 februari 2012 11:57

Dit ligt niet bij Microsoft, dit ligt bij Google en daar moet Microsoft in princiepe niet voor opdraaien. Al heb ik wel het vermoeden dat ze er iets zullen tegen doen in Internet Explorer 9.0.6 en Internet Explorer 10.

ari

21 februari 2012 11:14

Microsoft zegt te onderzoeken of het zijn implementatie van de p3p-specificatie wellicht gaat aanpassen, zodat het sites met ongeldige p3p-headers alsnog onmogelijk wordt gemaakt om third party-cookies te plaatsen.

Wat is er gebeurd met 'never trust user input'? Een ongeldige header heeft feitelijk dezelfde waarde als geen header, dus dit lijkt me eerder een fout in de 3p3-specificatie. Google zal dit ongetwijfeld hebben geweten en daarom deze header meesturen. Op zich best slim bedacht om het protocol te omzeilen door te claimen dat hun 3p3-header geen 3p3-header is, maar wat de bedoeling ervan is laat zich raden.

Van beide kanten niet echt netjes, maar als Microsoft z'n implementatie vanaf het begin op orde zou hebben gehad dan zou dit hele probleem zich niet hebben voorgedaan. Beetje jammer om nu te gaan huilen in de media in plaats van gewoon je zaakjes in orde te maken.

Verwijderd @ari • 21 februari 2012 11:44

De P3P specificatie is anders duidelijk genoeg:

it’s worth noting section “3.2 Policies” from the P3P specification:

3.2 Policies
In cases where the P3P vocabulary is not precise enough to describe a Web site's practices, sites should use the vocabulary terms that most closely match their practices and provide further explanation in the CONSEQUENCE field and/or their human-readable policy. However, policies MUST NOT make false or misleading statements.

Google heeft echter niet het door de standaard voorgeschreven CONSEQUENCE field gebruikt om human readable extra info op te nemen maar opzettelijk het field met de machine readable privacy policies gebruikt om human readable tekst in op te nemen zodat het policies veld ongeldige waardes bevat en niet mee geparsed kan worden.

corset 21 februari 2012 11:05

En de hype is er weer! Google aanvallen omdat 1 andere site iets zegt tegen google. Jammer weer. Op zich is het wel apart dat zoiets er nog inzit. Als dit verhaal inderdaad klopt, dat het ivm de Facebook Like en de Google +1 knoppen niet werkt. Dan is het toch logisch dat ze dit gaan omzeilen?

Niemand_Anders

Beveiliging

@corset • 21 februari 2012 11:32

Maar onbewust heeft je nu Microsoft dus gelijk. Google omzeilt bewust het P3P protocol om de Google +1 button werkend te krijgen.

Daarbij kan mij anders nog een tweakers post herinneren waarin werd aangegeven dat de Facebook Like button een groot privacy probleem is omdat de cookie welke door deze button wordt gebruikt Facebook de mogelijkheid geeft om jouw gangen over het internet te volgen. De Google +1 button bied dezelfde functionaliteit en dus kan Google jouw niet alleen volgen via haar advertentie netwerk, maar ook nog eens via de Google +1 button.

Ik heb even wat artikels opgezocht:
nieuws: Europese Facebook-gebruikers krijgen meer privacy

Websites kunnen Like-buttons integreren, maar dat heeft nu tot gevolg dat Facebook gebruikers kan volgen over het internet. Het is echter onduidelijk of Facebook ook op dit punt concessies wil doen.

nieuws: Tweede Kamer wil onderzoek naar privacyschendingen Facebook

Facebook raakte onlangs in opspraak omdat het cookies zou gebruiken die informatie over bezochte webpagina's doorsturen naar facebook.com. De cookies zouden dat doen op elke website waar een like- of share-button van Facebook is geplaatst, ook al is de gebruiker uitgelogd.

Het omzeilen van de cookie beveiliging in Safari zou je nog als een incident kunnen zien. Echter nu ook blijkt dat de beveiliging van MSIE wordt omzeilt (hoe eenvoudig dat ook is) kun je wel degelijk stellen dat Google doelbewust de privacy van internet gebruikers schend om hun Google +1 button werkend te krijgen. En als over enkele dagen blijkt dat Google ook de beveiliging van Opera omzeilt is natuurlijk het hek helemaal van de dam. Google kan dan zeker rekenen op een grondig onderzoek van EU..

RielN @Niemand_Anders • 21 februari 2012 17:03

Toch kies je ervoor een werkende +1 knop te hebben.

Blokker_1999

Websites en community's
Microsoft
Privacy
Browsers
Google

@corset • 21 februari 2012 11:19

Dan is het toch logisch dat ze dit gaan omzeilen?

Dus ondanks dat je als gebruiker ervoor kiest om niet gevolgd te worden hebben die bedrijven volgens jouw wel het recht om je te volgen? Want je gelooft nu zelf toch niet dat hier geen correctere oplossingen voor zijn?

curumir @Blokker_1999 • 21 februari 2012 11:33

Het is inderdaad een heel curieuze redenering die gevolgd wordt; wij zijn onschuldig want ook Facebook doet het! Moet het niet zijn dat ook Facebook fout zit hier, samen met Google?
Jammer dat Tweakers hier gedwee in meegaat.

Hetzelfde geldt voor het verouderde P3P protocol: het is verouderd niemand gebruikt het, maar we omzeilen het wel actief...

Ik moet toegeven dat het wel originelere excuses zijn dan 'het ging per ongeluk'.

[Reactie gewijzigd door curumir op 23 juli 2024 04:05]

Terracotta @curumir • 21 februari 2012 13:14

De redenering is eerder: ms die een belangrijke aandeelhouder is in facebook, zegt niets over facebook die hetzelfde doet, maar wel over google die een grote concurrent is. Twee maten twee gewichten van MS's kant.

corset @Blokker_1999 • 21 februari 2012 11:34

Ik zeg niet dat ze het recht hebben. Maar ze kiezen het pad van de minste weerstand. Waarom veel geld betalen om erom te werken als je dat ook gewoon kan ngeren. Helaas begint het gewoon zo te werken tegenwoordig.

Xubby @corset • 21 februari 2012 11:33

[...] Op zich is het wel apart dat zoiets er nog inzit. Als dit verhaal inderdaad klopt, dat het ivm de Facebook Like en de Google +1 knoppen niet werkt. Dan is het toch logisch dat ze dit gaan omzeilen?

Met mozilla firefox kan ik toch ook inloggen, en die zou P3P niet meer ondersteunen ....
Dus waarom kan P3P er bij MS dan niet uitgegooid worden?

Verwijderd @Xubby • 21 februari 2012 11:51

Met mozilla firefox kan ik toch ook inloggen

Google negeert ook de "DO not Track" instellingen van Mozilla Firefox.
Dus dat is niet verbazingwekkend.

Verwijderd @corset • 21 februari 2012 11:52

Dit is toch weer fanboyisme me van de hoogste plank hoor. "Mijn favoriete bedrijf wordt belaagd dus sluit ik mijn ogen en praat alles goed wat mijn favoriet bedrijf doet."

Facebook staat er voor bekend dat het niet nauw te nemen met de privacy van mensen, waarom moet Google dan dezelfde tactiek gaan toepassen? Oh juist omdat Google er tegenwoordig ook bekend voor staat gebruikers te belazeren om zo hun broodheren de adverteerders ter wille te kunnen zijn.

Langs de ene kant roept men op tweakers dat het internet vrij moet zijn maar langs de ander kant lijkt niemand het door te hebben dat het internet in handen is gekomen van advertentiebedrijven.

digital-IMEI 21 februari 2012 11:16

Internet Explorer laat alleen bepaalde third party-cookies toe als een website het p3p-protocol van het World Wide Web Consortium ondersteunt, door het meesturen van een http-header waarin het privacybeleid wordt aangegeven.

Volgens Microsoft manipuleert Google het p3p-protocol om toch identificerende third party-cookies te plaatsen, namelijk door een ongeldige p3p-header mee te sturen. Internet Explorer staat bij een ongeldige p3p-header toch third party-cookies toe.

Is het in dit geval dan niet een zeer grove fout van Microsoft door standaard te impliceren dat iedere website die een p3p header meestuurd, het protocol daadwerkelijk ondersteund?

ReneX @digital-IMEI • 21 februari 2012 11:38

Nee. Als een site headers gaat lopen sturen mag je er toch vanuit gaan dat dit niet helemaal zonder reden gebeurd.

Terracotta @ReneX • 21 februari 2012 13:21

Nee, de headers die van't internet komen kan je best als untrusted aanschouwen tot ze trusted zijn. Het enige waar je mag van uit gaan is dat een site onbetrouwbaar is.

ReneX @Terracotta • 21 februari 2012 15:27

En hoe kom je er achter of iets trusted is ??

Gert @digital-IMEI • 21 februari 2012 11:40

Nee, want dan zouden ze een foutmelding geven i.p.v. de response negeren.

Verwijderd @digital-IMEI • 21 februari 2012 14:36

Er valt niets te controleren door de browser. Zelf al zou je controleren of er een URL meegeleverd wordt, dan kun je nog steeds niet verifiëren, of daar ook relevante informatie in staat. Zoiets kan alleen een mens.

Derhalve logisch dat de browser hier uberhaupt geen check uitvoert. Er zijn grenzen aan wat je kunt controleren: de info uit een cookie heeft ook geen betekenis voor de browser.

Loller1

Microsoft
Browsers

21 februari 2012 12:01

Wel, Safaris en Internet Explorers beveiling worden dus omzeilt. Ik ben benieuwd of ook Mozlla en Opera gaan kijken of Google de instelling van Firefox en Opera omzeilen. En dan ben ik ook wel erg benieuwd naar hoe het met Chrome zit.

Verwijderd @Loller1 • 21 februari 2012 12:06

Mozilla gebruikt een opt-in "Do Not Track" policy.
Guess what.
Google does not opt-in

fifarunnerr @Loller1 • 21 februari 2012 13:07

Chrome kent geen Do-not-track functie volgens mij.

Als je echt wilt opt-outen van de meeste netwerken:
http://www.networkadvertising.org/managing/opt_out.asp

Ja, daar staat ook Google bij. En Microsoft

ronaldmathies 21 februari 2012 11:14

het is natuurlijk wel erg twijfelachtig om te zeggen dat je het protocol niet ondersteund en toch een repsonse te sturen. Stuur dan ook geen response. Eigenlijk betekend dit gewoon dat Google zich niet aan de standaarden houden doordat ze de standaard voor het P3P protocol niet correct implementeren.

Kan me ook wel voorstellen dat google het niet wilt ondersteunen want het ondermijnt hun core-business, ze willen juist wel data vergaren en gebruiken voor andere partijen.

watercoolertje

Google
Advertenties

@ronaldmathies • 21 februari 2012 11:28

google wil inderdaad vergaren maar hoe kom je aan de onzin dat ze het door willen geven aan 3den... Dat doet Google juist niet! Dat is nou juist het leuke bij Google. zij weten veel maar de adverteerders des te minder...

PietPuk.nl 21 februari 2012 13:43

Waarom leggen al de genoemde beveiligingsinstellingen (P3P, Do Not Track) zoveel verantwoordelijkheid neer bij de website? Als het blijkbaar zo makkelijk te omzeilen is mag het wat mij betreft geen beveiliging heten. In feite is het een schijnveiligheid. Echte beveiliging wordt geforceerd door de browser, eventueel zou je policies die websites aanbieden kunnen meenemen in de overweging cookies wel of niet toe te laten, maar de site zou nooit leidend mogen zijn. Dat lijkt nu wel het geval.

Gert @PietPuk.nl • 21 februari 2012 13:54

Je kan 3e partij cookies gewoon uitzetten, veilig, maar dan werken allerlei toeters en bellen niet meer van de huidige Internet cultuur.
Een browser kan aan de inhoud van een cookie niet zien of het veilig is, al die tools bieden meta data over het cookie waar de browser wel wat mee kan maar als de meta data en inhoud niet kloppen dan kan ook daar de browser weer weinig mee.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (133)

Sorteer op:

Weergave: