Браузер Internet Explorer 6 будет поддерживать формат защиты личных данных пользователя Platform for Privacy Preferences Project (P3P). Сайты, собирающие информацию о посетителях и игнорирующие этот формат, могут оказаться недоступными пользователю. В первую очередь это ударит по интернет-магазинам, баннерным сетям, рейтинговым системам и счетчикам.
С приближением выхода Windows XP значительная часть интернет-ресурсов озаботилась своей совместимостью с форматом защиты личных (конфеденциальных) данных пользователя Platform for Privacy Preferences Project (P3P). Поддержка данного формата встроена в Internet Explorer 6, сделаный специально под Windows XP. В зависимоси от настроек в новом браузере Microsoft, сайты, собирающие различную информацию о посетителях, могут оказаться недоступными, если они не поддерживают протокол P3P.
В первую очередь это относится к интернет-магазинам, баннерным сетям, рейтинговым системам, счетчикам и другим любителям коллекционировать персональные данные посетителей без явного их на то разрешения.
Спецификация P3P разрабатывается консорциумом W3C. Первая черновая версия была представлена для открытого обсуждения в 1998 году. В процессе доработки она критиковалась, встречала поддержку и даже высмеивалась, но слишком бурных эмоций все равно не вызывала. Microsoft своей поддержкой изменила ситуацию. Общественный резонанс проявился ближе к выходу IE 6, когда выяснилось, что новая версия доминирующего браузера ругаться или вовсе не отображать сайты, не поддерживающие P3P. К августу 2001 уже имелся рабочий вариант стандарта, но работа над ним продолжается.
К категории privacy-информации, защищаемой P3P, относятся персональные данные пользователя - его реальное имя, e-mail, адрес проживания, место работы, возраст, семейное положение и т. д. Охраняемой информацией также являются сведения об активности пользователя в глобальной Сети, регистрируемые в файлах cookies. Эти файлы создаются сайтами на компьютере пользователя. Будучи доступными для посторонних, они могут привести к неприятным последствиям, поскольку сохраняют информацию о посещаемых ресурсах. Так в прошлом месяце за посещение на рабочем месте порносайтов от должности был отстранен командующий тихоокеанским флотом Канады.
Для обеспечения совместимости с протоколом P3P веб-ресурс должен выработать и описать свою политику в области privacy. Какие сведения о пользователях он собирает, где и как долго их хранит, с кем делится ими, какие файлы cookies создает. Далее описание формализуется в соответствии со спецификацией P3P и представляется в машиночитаемом виде на языке XML. Это делается при помощи программных P3P-генераторов, таких как PrivacyDot.com, например. Получившийся файл p3p.xml размещают в корневой директории сайта. Именно там его будет искать IE 6 для проверки совместимости со стандартом. При необходимости для разных разделов сайта можно составить отдельные P3P-файлы. В настоящее время W3C работает над созданием языка APPEL (A P3P Preferences Exchange Language), специально предназначенного для составления privacy-спецификаций.
Сам протокол P3P не диктует клиентским программам какие-либо конкретные предустановки режима privacy. Единственным требоваением является установка по умолчанию явного запроса у пользователя разрешения на передачу личных данных. Как полагают в российской компании SpyLOG, основная масса пользователей нового браузера Microsoft не будет менять установки по умолчанию.
Считается, что основными каналами утечки на сторону конфиденциальной информации являются третьи сайты, к которым адресуется пользователь параллельно с загрузкой основной (требуемой) страницы. Под это определение попадают статистические системы (счетчики) и баннерные сети.
В бета-версии IE 6.0 по умолчанию установлен уровень защиты, предполагающий блокировку cookies третьих сайтов, которые:
несовместимы с P3P, то есть не декларировали свою privacy-политику,
запрашивают личную информацию без явного согласия пользователя,
запрашивают личную информацию без неявного согласия пользователя.
Такие рейтингово-статистические системы, как SpyLOG и Rambler's Top 100 на большинстве российских ресурсов присутствуют именно в виде третьих сайтов. Адаптация к P3P им необходима в первую очередь.
Однако, судя по комментариям представителей компаний "Рамблер" и SpyLOG, они не боятся прихода IE 6 вместе с P3P. Один из ведущих специалистов SpyLOG сообщил "Нетоскопу", что не видит в этом никаких особых проблем:
"Основная сложность здесь в том, что разработчику необходимо найти время прочитать стандарт и встроить необходимые функции в существующее ПО, а техническому руководителю проекта - сформулировать политику. Однако это кажется трудным только издалека. Я уверен, что как только у проектов возникнут проблемы c IE 6.0, у всех сколь-нибудь серьезных систем найдутся ресурсы, достаточные для их устранения».
Именно этим компания в настоящее время и занимается. Правда, от некоторых сервисов все же придется отказаться. Речь идет об услугах, связанных со сторонним использованием личной информации (даже полученной с согласия пользователя). Например, в ряде случаев предоставление таких данных за пределы компании может оказаться проблематичным. Выходят за рамки ограничений P3P также скрытые веб-жучки, собирающие что-либо, кроме IP-адреса, поскольку делают это без ведома пользователей.
Еще меньше проблем с IE 6 видят в "Рамблере". Как пояснил "Нетоскопу" руководитель проекта Rambler's Top100 Алексей Тутубалин, "в Рамблере, включая Top100, информация о пользователе обезличена, мы ни за кем не шпионим. Проблема с P3P заключается лишь в том, чтобы поддержать его корректным образом".
По словам Тутубалина, "у Рамблера (Top100, почты и так далее) появится security policy в терминах W3C, которую в настоящее время пишут наши юристы".
На вопрос о том, как распространение IE 6 повлияет на Интернет "в массе", руководитель Rambler's Top100 ответил:
"Думаю, что к концу года процентов 10 (всех пользователей - ред.) у MS IE 6 будет. При этом, если cookie нужны для дела, а не просто webmaster так захотел
(а user tracking внутри одного сайта можно сделать кучей разных способов),
то сайтам, желающим не потерять эти примерные 10 процентов клиентуры, придется
имплементировать P3P. А которым все равно - можно не имплементировать".
В стандарте P3P не предусмотрен механизм постоянного контроля за соблюдением сайтом заявленной им политики privacy. Однако, по мнению специалистов, солидные и уважающие себя компании вряд ли пойдут на обман, рискуя потерей авторитета. В отношении других, не слишком щепетильных ресурсов система контроля будет формироваться в соответствии с местными законодательствами или с опорой на международные юридические и общественные механизмы воздействия. Протокол P3P задуман W3C как начало и идеологическая основа инфраструктуры защиты privacy в Интернете.