«Рамблер» и SpyLOG готовы к IE 6, обрезающему cookies

Author:

Вячеслав Ансимов

[email protected]
Браузер Internet Explorer 6 будет поддерживать формат защиты личных данных пользователя Platform for Privacy Preferences Project (P3P). Сайты, собирающие информацию о посетителях и игнорирующие этот формат, могут оказаться недоступными пользователю. В первую очередь это ударит по интернет-магазинам, баннерным сетям, рейтинговым системам и счетчикам.

С приближением выхода Windows XP значительная часть интернет-ресурсов озаботилась своей совместимостью с форматом защиты личных (конфеденциальных) данных пользователя Platform for Privacy Preferences Project (P3P). Поддержка данного формата встроена в Internet Explorer 6, сделаный специально под Windows XP. В зависимоси от настроек в новом браузере Microsoft, сайты, собирающие различную информацию о посетителях, могут оказаться недоступными, если они не поддерживают протокол P3P.

В первую очередь это относится к интернет-магазинам, баннерным сетям, рейтинговым системам, счетчикам и другим любителям коллекционировать персональные данные посетителей без явного их на то разрешения.

Спецификация P3P разрабатывается консорциумом W3C. Первая черновая версия была представлена для открытого обсуждения в 1998 году. В процессе доработки она критиковалась, встречала поддержку и даже высмеивалась, но слишком бурных эмоций все равно не вызывала. Microsoft своей поддержкой изменила ситуацию. Общественный резонанс проявился ближе к выходу IE 6, когда выяснилось, что новая версия доминирующего браузера ругаться или вовсе не отображать сайты, не поддерживающие P3P. К августу 2001 уже имелся рабочий вариант стандарта, но работа над ним продолжается.

К категории privacy-информации, защищаемой P3P, относятся персональные данные пользователя — его реальное имя, e-mail, адрес проживания, место работы, возраст, семейное положение и т. д. Охраняемой информацией также являются сведения об активности пользователя в глобальной Сети, регистрируемые в файлах cookies. Эти файлы создаются сайтами на компьютере пользователя. Будучи доступными для посторонних, они могут привести к неприятным последствиям, поскольку сохраняют информацию о посещаемых ресурсах. Так в прошлом месяце за посещение на рабочем месте порносайтов от должности был отстранен командующий тихоокеанским флотом Канады.

Для обеспечения совместимости с протоколом P3P веб-ресурс должен выработать и описать свою политику в области privacy. Какие сведения о пользователях он собирает, где и как долго их хранит, с кем делится ими, какие файлы cookies создает. Далее описание формализуется в соответствии со спецификацией P3P и представляется в машиночитаемом виде на языке XML. Это делается при помощи программных P3P-генераторов, таких как PrivacyDot.com, например. Получившийся файл p3p.xml размещают в корневой директории сайта. Именно там его будет искать IE 6 для проверки совместимости со стандартом. При необходимости для разных разделов сайта можно составить отдельные P3P-файлы. В настоящее время W3C работает над созданием языка APPEL (A P3P Preferences Exchange Language), специально предназначенного для составления privacy-спецификаций.

Сам протокол P3P не диктует клиентским программам какие-либо конкретные предустановки режима privacy. Единственным требоваением является установка по умолчанию явного запроса у пользователя разрешения на передачу личных данных. Как полагают в российской компании SpyLOG, основная масса пользователей нового браузера Microsoft не будет менять установки по умолчанию.

Считается, что основными каналами утечки на сторону конфиденциальной информации являются третьи сайты, к которым адресуется пользователь параллельно с загрузкой основной (требуемой) страницы. Под это определение попадают статистические системы (счетчики) и баннерные сети.

В бета-версии IE 6.0 по умолчанию установлен уровень защиты, предполагающий блокировку cookies третьих сайтов, которые:

  • несовместимы с P3P, то есть не декларировали свою privacy-политику,
  • запрашивают личную информацию без явного согласия пользователя,
  • запрашивают личную информацию без неявного согласия пользователя.

Такие рейтингово-статистические системы, как SpyLOG и Rambler’s Top 100 на большинстве российских ресурсов присутствуют именно в виде третьих сайтов. Адаптация к P3P им необходима в первую очередь.

Однако, судя по комментариям представителей компаний «Рамблер» и SpyLOG, они не боятся прихода IE 6 вместе с P3P. Один из ведущих специалистов SpyLOG сообщил «Нетоскопу», что не видит в этом никаких особых проблем:

«Основная сложность здесь в том, что разработчику необходимо найти время прочитать стандарт и встроить необходимые функции в существующее ПО, а техническому руководителю проекта — сформулировать политику. Однако это кажется трудным только издалека. Я уверен, что как только у проектов возникнут проблемы c IE 6.0, у всех сколь-нибудь серьезных систем найдутся ресурсы, достаточные для их устранения».

Именно этим компания в настоящее время и занимается. Правда, от некоторых сервисов все же придется отказаться. Речь идет об услугах, связанных со сторонним использованием личной информации (даже полученной с согласия пользователя). Например, в ряде случаев предоставление таких данных за пределы компании может оказаться проблематичным. Выходят за рамки ограничений P3P также скрытые веб-жучки, собирающие что-либо, кроме IP-адреса, поскольку делают это без ведома пользователей.

Еще меньше проблем с IE 6 видят в «Рамблере». Как пояснил «Нетоскопу» руководитель проекта Rambler’s Top100 Алексей Тутубалин, «в Рамблере, включая Top100, информация о пользователе обезличена, мы ни за кем не шпионим. Проблема с P3P заключается лишь в том, чтобы поддержать его корректным образом».

По словам Тутубалина, «у Рамблера (Top100, почты и так далее) появится security policy в терминах W3C, которую в настоящее время пишут наши юристы».

На вопрос о том, как распространение IE 6 повлияет на Интернет «в массе», руководитель Rambler’s Top100 ответил:

«Думаю, что к концу года процентов 10 (всех пользователей — ред.) у MS IE 6 будет. При этом, если cookie нужны для дела, а не просто webmaster так захотел
(а user tracking внутри одного сайта можно сделать кучей разных способов),
то сайтам, желающим не потерять эти примерные 10 процентов клиентуры, придется
имплементировать P3P. А которым все равно — можно не имплементировать».

В стандарте P3P не предусмотрен механизм постоянного контроля за соблюдением сайтом заявленной им политики privacy. Однако, по мнению специалистов, солидные и уважающие себя компании вряд ли пойдут на обман, рискуя потерей авторитета. В отношении других, не слишком щепетильных ресурсов система контроля будет формироваться в соответствии с местными законодательствами или с опорой на международные юридические и общественные механизмы воздействия. Протокол P3P задуман W3C как начало и идеологическая основа инфраструктуры защиты privacy в Интернете.

МАТЕРИАЛЫ ПО ТЕМЕ


Internet Explorer обрел «кнопку анонимности»09.08.01


Алексей Рерих
Российский специалист лишил анонимности Anonymizer и SafeWeb18.06.01


99 процентов американцев плюют на защиту своих личных данных18.06.01


Netscape 6.1 beta: жизнь после смерти14.06.01


Выпущена программа для отлова шпионских жучков на веб-страницах09.06.01


Новый браузер Microsoft отправит всех в одно место08.06.01


Шпионский жучок на Java следит за деловой перепиской09.04.01


Opera 5 переведена на русский, немецкий, китайский и африканс31.01.01


Утечка новой версии Internet Explorer30.01.01


Пятая Opera стала бесплатной07.12.00


1.html»>44 процента российских пользователей опасаются нарушения privacy при сделках через Интернет07.12.00


Вячеслав Ансимов
Netscape 6 — что это?17.11.00


SafeWeb защитит пользователя от мониторинга20.10.00


Пользователи согласны делиться конфиденциальными данными14.09.00


Союз Журналистов