QR code per la pagina originale

Google ha aggirato anche le protezioni di IE (up.1)

Dopo aver aggirato le misure di sicurezza di Safari, Google avrebbe aggirato anche le protezioni di IE sfruttando a modo proprio uno standard W3C.

,

Microsoft addita nuovamente Google: non solo il gruppo ha aggirato le protezioni di Safari per riuscire a tracciare gli utenti, ma avrebbe adoperato un altro sistema pur di aggirare anche le protezioni di Internet Explorer. Il carico di accuse contro il motore di ricerca, insomma, cresce ed aumenta l’urgenza di una immediata verifica a tutela e salvaguardia dell’effettiva privacy degli utenti durante la navigazione online.

La nuova accusa contro il gruppo di Mountain View è peraltro costata a Microsoft un passo indietro: il team di Redmond non aveva infatti esitato ad additare tanto Google quanto Safari, rivendicando la maggior capacità di IE di tutelare l’utenza. A distanza di poche ore parte della disamina è stata smentita dai fatti: è la stessa Microsoft ad ammettere infatti per voce di Dean Hachamovitch, Corporate Vice President Internet Explorer, che il browser di Redmond è stato parimenti fallace nel limitare le ambizioni Google, aprendo così la strada a cookie indesiderati utili al motore di ricerca per meglio tracciare le attività dell’utenza e sfruttare tali informazioni per migliorare il proprio servizio di advertising.

Tecnicamente, il problema risiede nel modo in cui Google adotta il cosiddetto P3P Compact Policy Statement, uno standard W3C che chiede ai siti Web di precisare le proprie policy in relazione alla tutela della privacy (in pratica una autocertificazione relativa al modo in cui i cookie verranno utilizzati e se verrà messa in atto una qualche forma di tracciamento). In presenza di esplicita dichiarazione della policy P3P, i siti hanno maggiori diritti in termini di cookie e possono così agire con maggior libertà. La semantica tipica utilizzata è simile alla seguente (ogni sigla ha un suo significato preciso, rendendo particolarmente ostica la rilettura del significato complessivo):

P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

Tuttavia lo standard prevede la possibilità di utilizzare anche descrizioni gergali utili a descrivere con la massima approssimazione possibile quelle che sono le policy adottate, a patto di non mentire sulla questione. Questo il codice adottato nello specifico da Google:

P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

La “bugia” risiederebbe in questa dichiarazione con la quale le tecnologie di protezione di IE vengono aggirate e Google ottiene piena libertà d’azione. Microsoft ha messo ora a disposizione una nuova Tracking Protection List per ovviare temporaneamente al problema (ognuno può scaricarla ed installarla su IE9), ma per il futuro i piani prevedono nuove ed ulteriori misure tecniche di tutela per far sì che la pratica messa in atto da Google non possa più essere perseguita.

Update 1
Google si difende sostenendo che lo standard P3P è ormai in disuso. E che Facebook ed Amazon fallo la stessa identica cosa.

Fonte: IE Blog • Notizie su: