Zájemce o původní článek na Wall Street Journal odkážeme SEM. Nyní však pomiňme fakt, že šlo o praxi, která Google umožnila změnit chování prohlížeče od Apple tak, aby ukládaly cookies třetích stran - navíc o praxi, kterou nejspíš provozují i další společnosti - a zaměřme se na ostrou reakci Microsoftu. Ten si nebral servítky nejprve ústy Ryana Gavina (Senior director, Internet Explorer), který se vyjádřil na svém BLOGU: „Tento typ sledování není u Google ničím novým. Novinkou je to, že jde o případ, kdy se Google podařilo vědomě a úspěšně obejít bezpečnostní nastavení v prohlížeči Apple Safari…“. Jedním dechem pak samozřejmě doporučuje Internet Explorer 9 jako vhodnou alternativu pro všechny, kteří nechtějí být sledováni.
Microsoft: zneuctili P3P
To je zajímavé hlavně v souvislosti s dalším vyjádřením Microsoftu, tentokráte prostřednictvím Deana Hachamovitche (Korporátní viceprezident, Internet Explorer), který na MSDN BLOGU vysvětluje, jak se Google podařilo obejít bezpečnostní pravidla v IE. Ve zkratce: Standardní nastavení v IE blokují cookies třetích stran vyjma případů, kdy se strana drží tzv. zásad P3P (Platform for Privacy Preferences). V rámci jejich dodržování musí jasně určit, kterak budou cookies využívány a vyloučit jejich použití ke sledování uživatele.
Podle Hachamovitche Google využíval mezery ve specifikaci P3P, která určuje, že prohlížeč má ignorovat (rozumějte schválit) všechny nedefinované zásady tak, že zasílal P3P zásady obsahující pro browser nečitelný text (P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."). Prohlížeč to interpretoval tak, že odesílatel nehodlá používat cookies k výše zmíněným účelům a Google tak obcházel zabezpečení, čímž porušoval samotné základy pravidel P3P.
Google, Facebook a ti druzí
Obdobně "obchází" P3P ovšem také celá řada dalších stránek. To zjistila Lorrie Faith Cranorová z Carnege Mellon University (více ZDE), která poukazuje na vlastní studii z roku 2010, v níž s kolegy zkoumala na 33 000 webových stránek (více například na blogu ZDE). Asi třetina z nich v čele s Facebookem přitom využívala podobných praktik. Z toho ke své obraně čerpá také Google, který upozorňuje na zastaralost standardu P3P (a jeho využívání v IE) a naopak viní Microsoft z nečinnosti (úryvek z vyjádření Google ZDE).
Reakce Google na sebe nedala dlouho čekat. Odpovídala Rachel Whetstone, Senior Vice President, Communications and Public Policy, Google:
„Microsoft ve svém blogpostu vynechal důležitou informaci. Microsoft používá protokol známý jako „P3P“ z roku 2002, ve kterém žádá webové stránky, aby své praktiky ochrany soukromí zobrazovaly ve strojově čitelné podobě. Je všeobecně známé (ví to i společnost Microsoft), že takovýto požadavek není možné splnit, pokud se nechcete vzdát funkcí moderního webu. V našem přístupu jsme byli vždy transparentní, stejně jako další webové stránky. Dnes tuto zásadu Microsoftu prakticky nikdo nedodržuje. Studie z roku 2010 ukázala, že přes 11 tisíc webů nevydávalo platné P3P zásady, které Microsoft vyžadoval.” (Pozn. red: Facebook svůj text o P3P z druhého odkazu stáhnul, chyba není ve vašem prohlížeči)
A co vy? Jak se díváte na tuhle zákopovou válku? Máte svého favorita nebo se domníváte, že jde o zbytečné vzájemné osočování?