Следящие куки Google обходили настройки приватности в Safari

Небольшой скандал разгорелся вокруг компании Google, которую обвиняют ни много, ни мало, в «слежке за пользователями Apple». Причиной стали следящие cookies от Google, которые действовали на других сайтах даже в том случае, если в настройках браузера у пользователя были отключены сторонние cookies. Как известно, Safari — в своём роде, уникальный браузер, потому что он единственный, где сторонние куки отключены по умолчанию.

​

Компания Apple даже рекламирует данную фичу как преимущество Safari перед всеми остальными браузерами.

Однако, специалисты отмечают весьма специфичный механизм, как Safari работает со сторонними cookies. На самом деле он не так строго блокирует их, как другие браузеры, а всё-таки позволяет записывать cookies от сторонних сайтов при определённых условиях (HTTP-запрос на сторонний сайт, отправка формы на сторонний сайт в виде запроса form). Именно поэтому стал возможен «хак», использованный компанией Google. Компания Google добавила код, который открывал скрытый iframe и обменивался данными с сервисами Google, так что браузер Safari разрешал установить временные гугловские cookies, не считая их «сторонними».

Механизм синхронизации cookies используется компанией Google для так называемой «социальной персонализации», а просто говоря — для слежения за пользователями на всех посещённых сайтах. Google начал синхронизировать баннеры DoubleClick и кнопку «+1» ещё в ноябре прошлого года.

Содержимое iframe:

​

Ответ от http://google.com/pagead/drt/ui зависел от того, является ли пользователь авторизованным на сайте Google или нет. В зависимости от этого, ему устанавливаются разные cookies. Самое главное обвинение в адрес Google состоит в том, что для пользователей браузеров Safari возвращается особый ответ с использованием form, чтобы обойти настройки приватности Safari.

​

Кроме Google, аналогичные механизм с form в скрытом фрейме используют как минимум три другие рекламные сети: Vibrant Media, Media Innovation Group и PointRoll. Представители рекламной сети Vibrant сказали, что они использовали такой код как «исправление бага» в Safari, чтобы он работал также, как другие браузеры.

Особую работу с браузерами Safari обнаружил стэнфордский исследователь Джонатан Майер (Jonathan Mayer), а после обнародования выводов его работы Google сразу же удалил спорные скрипты. Однако, скандал уже было не остановить.

В оправдании «корпорации Добра» можно сказать, что она включала следящие cookies для тех пользователей Safari, которые уже авторизовались на сайте Google и как бы разрешили слежку за собой. Тот факт, что компания Apple поменяла им дефолтные настройки браузера, в такой ситуации является как бы незначительной помехой. Сквозные следящие куки на третьих сайтах уже давно используется различными рекламными компаниями и социальной сетью Facebook. Более того, Facebook прямо рекомендует обходить настройки браузера разработчикам в официальных документах, и объясняет, как это делать, ссылаясь на метод обхода: http://anantgarg.com/2010/02/18/cross-domain-cookies-in-safari/.

​

Вообще, вся эта история подаётся как конфликт между Google и Apple — как будто два гиганта бьются за контроль над миллионами ничего не понимающих юзеров. Собственно, так оно и есть на самом деле, когда речь идёт об интернет-сервисах. Большинство пользователей мало чего смыслят и никогда не меняют дефолтные настройки, да и вообще слабо представляют, что такое cookies.

Дата: 20.02.2012
http://www.xakep.ru/post/58305/​

 

Это бага Сафари. Че они при**ались?

 

А гугл ею пользуется

 

Просто гугл слишком много суётся. в личную жизнь каждого пользователя ПК, и это реально бесит.

 

Да ладно тебе, все равно уже ничего не изменишь.

 

А теперь прикинь все начнут в открытую так делать?
За Яндексом мною ничего такого замечено не было (сниферил)

 

Мы, простые смертные, все равно ничего поделать не сможем. Митинги устраивать - себя не уважать, да и пользы не принесет. А просто сидеть и говорить "какие плохие гугол, нельзя так делать" ничего не даст)

А им это нафиг не надо) У гугла же мания.

 

Google отслеживала действия пользователей браузера Safari

​

Интернет-компания Google отслеживала действия пользователей браузера Safari, предустановленного на смартфонах iPhone, планшетах iPad и компьютерах Mac, нарушая тем самым нормы приватности персональных данных, сообщает The Wall Street Journal со ссылкой на исследование Стэнфордского университета.

По данным исследователей из Стэнфордской лаборатории веб-безопасности и Центра интернета и общества, Google с помощью своей рекламной системы DoubleClick намеренно обходила одну из настроек приватности Safari, которая по умолчанию блокирует сохранение истории посещения сайтов. Это позволяло компании отследить активность пользователя на различных интернет-страницах.

Подобные нарушения числятся еще за тремя компаниями - Vibrant Media, Media Innovation Group и PointRoll, говорится в исследовании. По данным представителя Стэнфорда Джонатана Майера (Jonathan Mayer), инцидент мог потенциально затронуть миллионы пользователей Safari.

Google заявила, что начала использовать указанную функцию в браузере Safari в прошлом году, когда запускала кнопку "+1", аналогичную по функционалу кнопке "Мне нравится" (Like) в соцсети Facebook. Если пользователь или его друзья в Google+ отметили какой-либо контент кнопкой "+1", то система запоминала их предпочтения и корректировала поисковую выдачу.

Для более эффективного отслеживания предпочтений пользователей, Google создавала временную связку между своими серверами и браузером Safari. "Мы специально сделали так, что информация, переходящая между браузером Safari и серверами Google была анонимной. Для этого мы создавали барьер между персональными данными пользователя, хранящимися на устройстве, и посещаемыми страницами", - заявила агентству Bloomberg представитель Google Рейчел Уэтстоун (Rachel Whetstone), сообщает РИА новости.

В то же время, по ее словам, в браузере Safari содержалась функция, которая позволяла сохранять рекламные куки - небольшие фрагменты данных, создаваемые веб-страницей и сохраняемые на компьютере в виде файла, который браузер пересылает серверу при попытке открыть данную страницу. "Мы не ожидали, что это может произойти", - заявила Уэтстоун.

По словам представителя Google, компания начала удалять рекламные куки из браузеров Safari. Она также подчеркнула, что в результате инцидента угрозы для персональных данных пользователей - например, списка контактов или регистрационных данных - нет.

Apple, разрабатывающая Safari, в курсе того, что сторонние компании периодически пытаются намеренно использовать недоработки в системе приватности браузера в собственных интересах, заявил Bloomberg представитель Apple Билл Эванс (Bill Evans). "Мы работаем над тем, чтобы это прекратить", - добавил он.

Американская организация по защите прав потребителей уже направила письмо в Федеральную комиссию по торговле (FTC) с требованием санкций в отношении Google. "Пользователи Safari, запретившие отслеживать историю посещения сайтов, не знали о том, что за ними следят", - заявил представитель Consumer Watchdog Джон Симпсон (John Simpson). Кроме того, письма с требованием проверить, не нарушила ли Google свои договоренности с FTC, в комиссию направили несколько американских конгрессменов.

Крупнейшая в мире интернет-компания не впервые сталкивается с критикой по поводу защиты и использования личных данных пользователей. В прошлом году Google согласилась на регулярные проверки соблюдения норм приватности со стороны FTC.

В прошлом месяце Google заявила, что планирует до конца февраля унифицировать правила приватности личных данных пользователей своих ключевых продуктов. Однако американские правозащитники уже призвали власти США заблокировать внедрение новой политики приватности, полагая, что она вводит в заблуждение пользователей, не подразумевает обязательное получение согласия пользователей на передачу их данных сторонним компаниям и не отвечает требованиям программы по защите тайны личной жизни, реализовать которую интернет-компанию обязала FTC.

20/02/2012 - 09:10
http://anti-malware.ru/news/2012-02-20/6071​

 

Сафари специально так сделали, но гугл нашел обход чтобы свои куки всем абсолютно пихать.
Запретить мы им это не можем, а блокировать на своём компе имеем право. как говорится мы цари и боги в своих браузерах

 

Объяснить бы это остальным 90% пользователей сафари. Хотя...мозг лопнет уже после 40% пользователей.

 

d3l3t3 - да это и есть основная проблема, что большинство и не вкурсе что такое куки, да и сидит большинство на ie до сих пор
даже убрать ie из интернета сложная проблема, хоть на них и по дуратски сайты отображаются виснут и медленно открываются, простых юзеров это не пугает )
даже когда ставим специальные баннеры о устаревшем браузере или закрываем доступ к сайту, пользователей ie не уменьшилось )

 

Разработчики IE тоже обвиняют Google в обходе настроек приватности

«Когда мы в команде разработчиков браузера Internet Explorer услышали, что Google обходит настройки приватности браузера Safari, мы задали себе простой вопрос: а может быть, Google также обходит настройки приватности, установленные и пользователями Internet Explorer? Мы обнаружили, что ответ — да. Google использует аналогичные методы для обхода дефолтной защиты приватности в IE и отслеживания пользователей IE с помощью cookies», — так представители Microsoft начинают статью в официальном блоге. Они присоединяются к обвинениям в адрес Google, которые ранее выдвинул журнал WSJ, опубликовавший «сенсационную» статью с исследованием независимых аналитиков, обнаруживших следящие cookies компании Google вместе с кодом, специально модифицированным для использования малоизвестных особенностей браузера Safari (подробнее см. здесь).

Отличие только в том, что в случае с Safari исследование было выполнено всё-таки независимыми экспертами, а здесь претензии к Google предъявляют непосредственно разработчики из Microsoft. Если разобраться в технических деталях, то повод для скандала совсем незначительный и даже смешной.

В случае с IE поводом для претензий стало то, что Google обходит функцию P3P Privacy Protection в IE 8 и более ранних версий. Результат получается примерно такой же, как и в случае с Safari, хотя механизм здесь используется другой. Браузер IE 9 оснащён дополнительной защитой Tracking Protection, которая не поддаётся этому приёму со стороны Google.

Суть здесь в том, что браузер IE блокирует сторонние cookies, за исключением тех, что демонстрируют заявление P3P Compact Policy Statement, которое запрещает отслеживание пользователей. Разработчики IE говорят, что заявление от сайта Google декларирует такую поддержку, но на самом деле её не имеет. Они возмущены этим фактом, потому что P3P является официальной рекомендацией консорциума W3C.

Вот стандартное заявление P3P от сайта Microsoft.com с закодированной информацией, согласно стандарту:
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

Для сравнения, вот что показывает Google, это вообще не машиночитаемые коды, а текст на английском языке.
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

Демонстрируя заявление P3P, компания Google злонамеренно обходит защиту в браузере IE, считают разработчики из Microsoft.

Дата: 21.02.2012
http://www.xakep.ru/post/58313/​

 

Microsoft обвиняет Google в слежке за пользователями браузера IE

​

Microsoft обвиняет Google в том, что компания отсылала браузеру фрагмент информации, позволяющий обойти настройки приватности и блокировку создания куки.

НЬЮКАСЛ (Великобритания), 21 фев - РИА Новости, Алина Гайнуллина. Софтверная корпорация Microsoft обвиняет интернет-компанию Google в отслеживании действий пользователей браузера Internet Explorer в обход предустановленных настроек приватности, говорится в корпоративном блоге Microsoft.

На прошлой неделе специалисты Стэнфордского университета выяснили, что Google отслеживала активность пользователей браузера Safari на различных интернет-страницах. Хотя компания Apple по умолчанию блокирует сохранение истории посещения сайтов в браузерах Safari, Google заявила тогда, что создавать рекламные куки позволяла уязвимость в настройках приватности Safari.

Представители Google заявили, что компания начала удалять рекламные куки из браузеров Safari и что инцидент ограничивался только этим браузером. В то же время, по словам вице-президента Microsoft Дина Хачамовица (Dean Hachamovitch), Google использовала похожие методы для отслеживания действий пользователей Internet Explorer.

Конфигурация браузера IE, равно как и Safari, по умолчанию блокирует создание куки сторонними веб-страницами. Однако если страница поддерживает так называемый протокол P3P (Platform for Privacy Preferences Project), это означает, что она обязалась не использовать куки для слежки за активностью пользователей. Если сайт берет на себя такое обязательство, каждый раз при открытии он посылает браузеру сообщение об этом в закодированной форме.

Microsoft обвиняет Google в том, что компания отсылала браузеру фрагмент информации, позволяющий обойти настройки приватности и блокировку создания куки. В сообщении, кроме нескольких типовых кодов, содержалась фраза "This is not a P3P policy" ("Это не политика P3P") и ссылка на страницу Google, объясняющую, что компания использует куки для аутентификации пользователей различных сервисов и сохранения их предпочтений, в то время как P3P не учитывает подобную необходимость.

Microsoft уже обратилась к Google с просьбой прекратить эксплуатацию уязвимости и нарушение норм приватности личных данных интернет-пользователей. Google пока не прокомментировала ситуацию.

Крупнейшая в мире интернет-компания не впервые сталкивается с критикой по поводу защиты и использования личных данных пользователей. В прошлом году Google согласилась на регулярные проверки соблюдения норм приватности со стороны FTC, а в январе текущего года Google заявила, что планирует до 1 марта унифицировать правила приватности личных данных пользователей своих ключевых продуктов.

21/02/2012 10:39
http://digit.ru/it/20120221/389443753.html​

 

Странные они, этот способ обхода давно всем известен и много где используется, а они только сейчас опомнились. Сам я с подобной проблемой столкнулся, когда в iframe виджете куки не устанавливались у некоторых пользователей оперы, сафари и IE.

Для IE решение самое простое, заголовок /P3P: CP="IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT"/
Для оперы и сафари куки можно было устанавливать только после того, как пользователь кликнет в мой фрейм, но эмуляция кликов не прокатывала, зато прокатила отправка формы.

И эти решения очень легко гуглятся.

 

Пользователь Safari подал в суд на Google

​

Незаконный сбор информации о посещенных страницах пользователейбраузераSafariпутем обхода функционала блокирования файлов куки привел к подаче судебного иска против Google. Житель Иллинойса Мэтью Собл (Matthew Soble) обратился в федеральный суд в Делавэре с претензией к поисковому гиганту. Собл считает, что Google незаконно осуществлял слежку за ним посредством файлов куки и, таким образом, нарушил его право на частную жизнь.

Напомним, что на прошлой неделе The Wall Street Journal обвинил Google в преднамеренной слежке за пользователями браузера Safari. В свою очередь представители компании Microsoft также заявили, что «Google применяет такие методы, которые позволяют обойти защиту конфиденциальности пользователей IE, установленную по умолчанию».

Эксперты связывают слежку Google за пользователями Safari со сложившейся конкуренцией компании с социальной сетью Facebook. После того, как Facebook ввела функцию «like», Google добавила инструмент «+1», который переносил понравившийся пользователю контент в его учетную запись в Google+. В прошлом году Google добавила такую же функцию и для рекламных объявлений. Однако Safari не позволял Google создавать cookie-файлы для того, чтобы проверять авторизован ли определенный пользователь в социальной сети Google+.

2012.02.22 19:53
http://www.inattack.ru/news/polzovatel-safari-podal-v-sud-na-google/4100.html​