Следящие куки Google обходили настройки приватности в Safari

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 20 фев 2012.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Небольшой скандал разгорелся вокруг компании Google, которую обвиняют ни много, ни мало, в «слежке за пользователями Apple». Причиной стали следящие cookies от Google, которые действовали на других сайтах даже в том случае, если в настройках браузера у пользователя были отключены сторонние cookies. Как известно, Safari — в своём роде, уникальный браузер, потому что он единственный, где сторонние куки отключены по умолчанию.

    [​IMG]

    Компания Apple даже рекламирует данную фичу как преимущество Safari перед всеми остальными браузерами.

    Однако, специалисты отмечают весьма специфичный механизм, как Safari работает со сторонними cookies. На самом деле он не так строго блокирует их, как другие браузеры, а всё-таки позволяет записывать cookies от сторонних сайтов при определённых условиях (HTTP-запрос на сторонний сайт, отправка формы на сторонний сайт в виде запроса form). Именно поэтому стал возможен «хак», использованный компанией Google. Компания Google добавила код, который открывал скрытый iframe и обменивался данными с сервисами Google, так что браузер Safari разрешал установить временные гугловские cookies, не считая их «сторонними».

    Механизм синхронизации cookies используется компанией Google для так называемой «социальной персонализации», а просто говоря — для слежения за пользователями на всех посещённых сайтах. Google начал синхронизировать баннеры DoubleClick и кнопку «+1» ещё в ноябре прошлого года.

    Содержимое iframe:

    [​IMG]

    Ответ от http://google.com/pagead/drt/ui зависел от того, является ли пользователь авторизованным на сайте Google или нет. В зависимости от этого, ему устанавливаются разные cookies. Самое главное обвинение в адрес Google состоит в том, что для пользователей браузеров Safari возвращается особый ответ с использованием form, чтобы обойти настройки приватности Safari.

    [​IMG]

    Кроме Google, аналогичные механизм с form в скрытом фрейме используют как минимум три другие рекламные сети: Vibrant Media, Media Innovation Group и PointRoll. Представители рекламной сети Vibrant сказали, что они использовали такой код как «исправление бага» в Safari, чтобы он работал также, как другие браузеры.

    Особую работу с браузерами Safari обнаружил стэнфордский исследователь Джонатан Майер (Jonathan Mayer), а после обнародования выводов его работы Google сразу же удалил спорные скрипты. Однако, скандал уже было не остановить.

    В оправдании «корпорации Добра» можно сказать, что она включала следящие cookies для тех пользователей Safari, которые уже авторизовались на сайте Google и как бы разрешили слежку за собой. Тот факт, что компания Apple поменяла им дефолтные настройки браузера, в такой ситуации является как бы незначительной помехой. Сквозные следящие куки на третьих сайтах уже давно используется различными рекламными компаниями и социальной сетью Facebook. Более того, Facebook прямо рекомендует обходить настройки браузера разработчикам в официальных документах, и объясняет, как это делать, ссылаясь на метод обхода: http://anantgarg.com/2010/02/18/cross-domain-cookies-in-safari/.

    [​IMG]

    Вообще, вся эта история подаётся как конфликт между Google и Apple — как будто два гиганта бьются за контроль над миллионами ничего не понимающих юзеров. Собственно, так оно и есть на самом деле, когда речь идёт об интернет-сервисах. Большинство пользователей мало чего смыслят и никогда не меняют дефолтные настройки, да и вообще слабо представляют, что такое cookies.




    источник
     
    1 человеку нравится это.

Поделиться этой страницей