"Рамблер" и SpyLOG готовы к IE 6, обрезающему cookies Вячеслав Ансимов ansi@netoscope.ru 28.08.2001 версия для печати Браузер Internet Explorer 6 будет поддерживать формат защиты личных данных пользователя Platform for Privacy Preferences Project (P3P). Сайты, собирающие информацию о посетителях и игнорирующие этот формат, могут оказаться недоступными пользователю. В первую очередь это ударит по интернет-магазинам, баннерным сетям, рейтинговым системам и счетчикам.

С приближением выхода Windows XP значительная часть интернет-ресурсов озаботилась своей совместимостью с форматом защиты личных (конфеденциальных) данных пользователя Platform for Privacy Preferences Project (P3P). Поддержка данного формата встроена в Internet Explorer 6, сделаный специально под Windows XP. В зависимоси от настроек в новом браузере Microsoft, сайты, собирающие различную информацию о посетителях, могут оказаться недоступными, если они не поддерживают протокол P3P.

В первую очередь это относится к интернет-магазинам, баннерным сетям, рейтинговым системам, счетчикам и другим любителям коллекционировать персональные данные посетителей без явного их на то разрешения.

Спецификация P3P разрабатывается консорциумом W3C. Первая черновая версия была представлена для открытого обсуждения в 1998 году. В процессе доработки она критиковалась, встречала поддержку и даже высмеивалась, но слишком бурных эмоций все равно не вызывала. Microsoft своей поддержкой изменила ситуацию. Общественный резонанс проявился ближе к выходу IE 6, когда выяснилось, что новая версия доминирующего браузера ругаться или вовсе не отображать сайты, не поддерживающие P3P. К августу 2001 уже имелся рабочий вариант стандарта, но работа над ним продолжается.

К категории privacy-информации, защищаемой P3P, относятся персональные данные пользователя - его реальное имя, e-mail, адрес проживания, место работы, возраст, семейное положение и т. д. Охраняемой информацией также являются сведения об активности пользователя в глобальной Сети, регистрируемые в файлах cookies. Эти файлы создаются сайтами на компьютере пользователя. Будучи доступными для посторонних, они могут привести к неприятным последствиям, поскольку сохраняют информацию о посещаемых ресурсах. Так в прошлом месяце за посещение на рабочем месте порносайтов от должности был отстранен командующий тихоокеанским флотом Канады.

Для обеспечения совместимости с протоколом P3P веб-ресурс должен выработать и описать свою политику в области privacy. Какие сведения о пользователях он собирает, где и как долго их хранит, с кем делится ими, какие файлы cookies создает. Далее описание формализуется в соответствии со спецификацией P3P и представляется в машиночитаемом виде на языке XML. Это делается при помощи программных P3P-генераторов, таких как PrivacyDot.com, например. Получившийся файл p3p.xml размещают в корневой директории сайта. Именно там его будет искать IE 6 для проверки совместимости со стандартом. При необходимости для разных разделов сайта можно составить отдельные P3P-файлы. В настоящее время W3C работает над созданием языка APPEL (A P3P Preferences Exchange Language), специально предназначенного для составления privacy-спецификаций.

Сам протокол P3P не диктует клиентским программам какие-либо конкретные предустановки режима privacy. Единственным требоваением является установка по умолчанию явного запроса у пользователя разрешения на передачу личных данных. Как полагают в российской компании SpyLOG, основная масса пользователей нового браузера Microsoft не будет менять установки по умолчанию.

Считается, что основными каналами утечки на сторону конфиденциальной информации являются третьи сайты, к которым адресуется пользователь параллельно с загрузкой основной (требуемой) страницы. Под это определение попадают статистические системы (счетчики) и баннерные сети.

В бета-версии IE 6.0 по умолчанию установлен уровень защиты, предполагающий блокировку cookies третьих сайтов, которые:

• несовместимы с P3P, то есть не декларировали свою privacy-политику,
• запрашивают личную информацию без явного согласия пользователя,
• запрашивают личную информацию без неявного согласия пользователя.

Такие рейтингово-статистические системы, как SpyLOG и Rambler's Top 100 на большинстве российских ресурсов присутствуют именно в виде третьих сайтов. Адаптация к P3P им необходима в первую очередь.

Однако, судя по комментариям представителей компаний "Рамблер" и SpyLOG, они не боятся прихода IE 6 вместе с P3P. Один из ведущих специалистов SpyLOG сообщил "Нетоскопу", что не видит в этом никаких особых проблем:

"Основная сложность здесь в том, что разработчику необходимо найти время прочитать стандарт и встроить необходимые функции в существующее ПО, а техническому руководителю проекта - сформулировать политику. Однако это кажется трудным только издалека. Я уверен, что как только у проектов возникнут проблемы c IE 6.0, у всех сколь-нибудь серьезных систем найдутся ресурсы, достаточные для их устранения».

Именно этим компания в настоящее время и занимается. Правда, от некоторых сервисов все же придется отказаться. Речь идет об услугах, связанных со сторонним использованием личной информации (даже полученной с согласия пользователя). Например, в ряде случаев предоставление таких данных за пределы компании может оказаться проблематичным. Выходят за рамки ограничений P3P также скрытые веб-жучки, собирающие что-либо, кроме IP-адреса, поскольку делают это без ведома пользователей.

Еще меньше проблем с IE 6 видят в "Рамблере". Как пояснил "Нетоскопу" руководитель проекта Rambler's Top100 Алексей Тутубалин, "в Рамблере, включая Top100, информация о пользователе обезличена, мы ни за кем не шпионим. Проблема с P3P заключается лишь в том, чтобы поддержать его корректным образом".

По словам Тутубалина, "у Рамблера (Top100, почты и так далее) появится security policy в терминах W3C, которую в настоящее время пишут наши юристы".

На вопрос о том, как распространение IE 6 повлияет на Интернет "в массе", руководитель Rambler's Top100 ответил:

"Думаю, что к концу года процентов 10 (всех пользователей - ред.) у MS IE 6 будет. При этом, если cookie нужны для дела, а не просто webmaster так захотел (а user tracking внутри одного сайта можно сделать кучей разных способов), то сайтам, желающим не потерять эти примерные 10 процентов клиентуры, придется имплементировать P3P. А которым все равно - можно не имплементировать".

В стандарте P3P не предусмотрен механизм постоянного контроля за соблюдением сайтом заявленной им политики privacy. Однако, по мнению специалистов, солидные и уважающие себя компании вряд ли пойдут на обман, рискуя потерей авторитета. В отношении других, не слишком щепетильных ресурсов система контроля будет формироваться в соответствии с местными законодательствами или с опорой на международные юридические и общественные механизмы воздействия. Протокол P3P задуман W3C как начало и идеологическая основа инфраструктуры защиты privacy в Интернете.

Обсудить в форуме (Сообщений : 23)

МАТЕРИАЛЫ ПО ТЕМЕ

Internet Explorer обрел "кнопку анонимности" - 09.08.01
Алексей Рерих Российский специалист лишил анонимности Anonymizer и SafeWeb - 18.06.01
99 процентов американцев плюют на защиту своих личных данных - 18.06.01
Netscape 6.1 beta: жизнь после смерти - 14.06.01
Выпущена программа для отлова шпионских жучков на веб-страницах - 09.06.01
Новый браузер Microsoft отправит всех в одно место - 08.06.01
Шпионский жучок на Java следит за деловой перепиской - 09.04.01
Opera 5 переведена на русский, немецкий, китайский и африканс - 31.01.01
Утечка новой версии Internet Explorer - 30.01.01
Пятая Opera стала бесплатной - 07.12.00
44 процента российских пользователей опасаются нарушения privacy при сделках через Интернет - 07.12.00
Вячеслав Ансимов Netscape 6 - что это? - 17.11.00
SafeWeb защитит пользователя от мониторинга - 20.10.00
Пользователи согласны делиться конфиденциальными данными - 14.09.00