ข่าวนี้ต่อจาก นักวิจัยพบ Safari มีช่องโหว่ให้กูเกิลติดตามการเข้าเว็บได้, กูเกิลได้ปิดการติดตามดังกล่าวแล้ว
หลังจากข่าวของกูเกิลกับ Safari แพร่ออกไป ทางทีมงาน IE ก็ตรวจสอบว่ากูเกิลละเมิดค่าความเป็นส่วนตัวของผู้ใช้แบบเดียวกันหรือไม่ ผลก็คือกูเกิลทำแบบเดียวกัน นั่นคือ "ลัด" (bypass) ตัวเลือกการรับคุกกี้ที่ผู้ใช้ IE กำหนดไว้
ก่อนจะเข้ารายละเอียดต้องปูพื้นกันสักหน่อยครับ
โดยปกติแล้ว เมื่อใช้ IE เข้าเว็บไซต์ใดก็ตาม IE จะรับเฉพาะคุกกี้จากเว็บไซต์นั้นๆ และปฏิเสธคุกกี้ที่มาจากโดเมนอื่น เว้นเสียแต่ว่าเว็บไซต์เจ้าของคุกกี้จะระบุข้อมูลใน HTTP header ตามมาตรฐาน P3P Compact Policy Statement (ซึ่งเป็นมาตรฐานของ W3C แต่มี IE ใช้เพียงรายเดียว) เพื่อบอก IE ว่าจะใช้งานคุกกี้อย่างไร และยืนยันว่าจะไม่ตามรอย (track) การใช้งานเว็บไซต์ของผู้ใช้
แนวคิดของ P3P คือมอบหน้าที่ให้เว็บไซต์เป็นคนระบุว่าจะใช้งานคุกกี้อย่างไร ซึ่งเบราว์เซอร์จะนำข้อมูลเหล่านี้ไปเทียบกับค่าที่ผู้ใช้ตั้งไว้ (ว่าจะรับหรือไม่รับคุกกี้แบบไหนบ้าง) และยอมรับ/ปฏิเสธให้อัตโนมัติ
ตัวอย่างการส่งข้อมูลแบบ P3P (รหัสภาษาอังกฤษแต่ละชุดคือโค้ดของ P3P บอกว่าทำอะไรกับคุกกี้บ้าง)
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"
ปัญหาเกิดขึ้นเพราะเว็บไซต์ในเครือกูเกิลจะส่งข้อมูลที่ไม่ตรงตามสเปกของ P3P ไปกับคุกกี้ แทนที่จะใส่โค้ด P3P แต่กูเกิลใส่ลิงก์ไปยังเว็บของกูเกิลแทน
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
ตามสเปกของ W3C แล้ว ถ้าเบราว์เซอร์ได้ค่า P3P ที่ไม่ตรงตามสเปกที่ระบุ เบราว์เซอร์จะถือว่าคุกกี้นี้ไม่ตามรอยผู้ใช้ และยอมรับการใช้งานคุกกี้นั้นๆ โดยปริยาย
ผลคือ IE จะรับคุกกี้จากกูเกิล ทั้งที่กูเกิลไม่ได้ระบุค่า P3P ตามที่กูเกิลต้องการ และเป็นช่องโหว่ให้กูเกิลส่งคุกกี้ที่ผู้ใช้ไม่ต้องการเข้ามาได้ โดยที่ผู้ใช้เองก็ไม่รู้ตัว
ไมโครซอฟท์บอกว่ากูเกิล "จงใจ" ละเมิดมาตรฐาน P3P เพื่อให้คุกกี้ของกูเกิลสามารถเข้าไปเก็บข้อมูลของผู้ใช้ IE ได้
ที่มา - MSDN
อย่างไรก็ตาม รอบนี้กูเกิลได้รับเสียงสนับสนุนจาก Facebook เพราะทาง Facebook ก็ออกมาระบุว่าเว็บไซต์จำนวนมาก (รวม Facebook ด้วย) ไม่ได้ปฏิบัติตามมาตรฐาน P3P เช่นกัน
Facebook ยังให้ความเห็นว่ามาตรฐาน P3P เก่าเกินไปแล้ว มันถูกพัฒนาเมื่อ 5 ปีก่อน (อัพเดตครั้งสุดท้ายปี 2007) และไม่เหมาะกับโลกยุค social network อีกแล้ว
ที่มา - ZDNet
ฝั่งกูเกิลออกมาตอบโต้ไมโครซอฟท์ว่า เขียนข้อมูลไม่ครบ โดยมาตรฐาน P3P เป็นมาตรฐานที่ไมโครซอฟท์เป็นคนร่างเองตั้งแต่ปี 2002 แล้วค่อยส่งเข้าเป็นมาตรฐานของ W3C ซึ่งกูเกิลและเว็บไซต์อื่นๆ ไม่จำเป็นต้องทำตามที่ไมโครซอฟท์ต้องการเสมอไป
กูเกิลยังพูดเหมือนกับ Facebook ว่ามาตรฐานของไมโครซอฟท์แทบไม่มีใครใช้ และข้อมูลในปี 2010 ระบุว่าเว็บไซต์กว่า 11,000 แห่งก็ไม่ระบุข้อมูล P3P ตามที่ไมโครซอฟท์ต้องการแต่อย่างใด
ที่มา - BGR
ข่าวสุดท้ายที่ต่อเนื่องจากข่าวเก่าคือ กลุ่มผู้ใช้ Safari ที่ไม่พอใจการกระทำของกูเกิลเรื่องความเป็นส่วนตัว ยื่นฟ้องกูเกิลในข้อหาดักฟังข้อมูลของผู้ใช้ ต่อศาลเขตเดลาแวร์เรียบร้อยแล้ว ทางกูเกิลยังปฏิเสธที่จะให้ข่าวในคดีนี้
ที่มา - Businessweek
Comments
ดูเหมือน MS ออกมายอมรับกลาย ๆ ว่า "ผลิตภัณฑ์ของเรามีปัญหา" และ "Google ใช้ประโยชน์จากปัญหานั้นในทางที่ไม่เหมาะสม" แน่นอนว่าอันหลังมันก็ฟังดูดี แต่อันหน้ามันดูแปลก ๆ นะ
+1 ส่วนเรื่อง Safari ก็รอดูว่าเนื้อความในการฟ้องร้อง กับการเก็บข้อมูลของ Google เก็บอะไรไปบ้าง
P3P ไม่ใช่ปัญหา
ผมว่า คำว่า "ช่องโหว่" ก็พอจะเรียกว่าเป็นปัญหาได้แล้วนะครับ ส่วนตัวคิดว่า ถ้า input ไม่ได้อยู่ในช่วงที่รับได้ก็ควรจะ reject ไม่ใช่ accept
เห็นด้วยครับ มาตรฐานมันดูเพี้ยนพิกล (ไม่ระบุ หรือระบุมาผิดมาตรฐาน ควรจะให้ผลเหมือนกัน คือไม่ไว้ใจคุกกี้นั้นๆ)
+1 คิดเหมือนกัน ฟังดูเพี้ยนพิกล
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
ถ้าไม่ระบุคงต้องไว้ใจครับ ไม่งั้น IE จะเป็น Browser ตัวเดียวที่เข้าเว็บส่วนมากไม่ได้ แต่ถ้าระบุมาผิดนี่สมควรไม่ไว้ใจ
แย่จัง กูเกิลรู้หมดเลยว่า เราไปกูเกิลอะไรบนกูเกิลบ้าง (ประชด) -__-
ควรจะยื่นฟ้อง Browser มากกว่าเปล่าเนี้ย
ไม่ค่อยเกี่ยวกะ browser เท่าไหร่นะครับ ผมว่ามันเป็นปัญหาเรื่อง Standard ที่หลายๆ เว็บแย้งว่า "มันไม่ใช่ Standard ซะหน่อย" เลยไม่ยอมทำตามกฏมากกว่า
โครมล่ะ?
May the Force Close be with you. || @nuttyi
อะไรคือ IE ?
555555
Coder | Designer | Thinker | Blogger
ปัญหาโลกแตกของสงคราม Web Browser
Standard หลากหลายที่แม้แต่ W3C ยังควบคุมได้ไม่หมด
คือ ทั้งสองตัว มีข้อผิดพลาด เองนะ แต่ อ้างว่า Google มาใช้ความผิดพลาดนี้ให้เกิดประโยชนน์
P3P คุ้นๆ ว่าคนทำ apps บน facebook จะเจอปัญหานี้เมื่อเรียกผ่าน iframe ในหน้า facebook
มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB