ギズモードジャパン

グーグルがSafariのプライバシー設定を迂回してユーザーのマシンにクッキー埋め込んで閲覧を追跡していたニュースが出た時には、「IEのセキュリティは盤石よ」と言っていたマイクロソフトですが、よくよく調べてみたら、なんとIEも迂回されてたことが分かりました！

Microsoft VPディーン・ハチャモヴィッチ（ Dean Hachamovitch）氏曰く、Safariの件を受けてInternet Explorerのチームが調べてみたところ、Googleが「似た手口を使ってIEにデフォルトで装備されたプライバシー保護を回避し、クッキーでIEユーザーをも追跡していた」ことが分かったのだそうな。グーグルはルールを破ってP3Pというプライバシー保護機能を回避していた、としています。
　

Googleは、クッキーに関するユーザーの設定を実質回避できるP3P仕様のニュアンスを利用した。このP3Pの仕様は、（将来プライバシーポリシーに変更があった場合に備えて余地を残しておく目的で）定義のないポリシーはブラウザ側で無視すべし、と定めたものだ。Googleがブラウザに送信するP3Pポリシーには、 Googleがクッキーやユーザー情報を使用するとの記述がない。それどころかGoogleのP3Pポリシーには、「これはP3Pポリシーでない！」とある。P3Pポリティーはブラウザが「読む」ようデザインされたものであるのにも関わらず、人間が読むことを念頭に書かれているのである。

こうGoogleのポリシーにあると、P3P準拠のブラウザではCookieが追跡目的に使われない、どんな目的にも使われないものと解釈してしまうのだ。このテキストを送信することで、GoogleはCookieからユーザーを守る設定を回避し、サードパーティーのCookieがブロックされず許可されるようにしていた。

と述べた上で、マイクロソフトではさっそくIE9ユーザーをGoogleから守るトラッキング保護リスト（Tracking Protection List）をこちらに出しました。グーグルのQ＆Aはこちら。

なお、こないだのSafari同様、IEもこの穴（PP3のコンパクトポリシーズ[CPs]が問題なクッキーは弾くんだけど、CPが無効だとブロックしないバグ）は前からあってFacebookも全く同じことをしているとZDNetは報じてます（追：確認とれました）。昨年9月にカーネギーメロン大学が調べたサイト33,139件のうちエラーが確認されたのは11,176件で、その中にはビジター上位100のうち21のサイトも入っていたのだそうな！　

大勢やってるからってブラウザのプライバシー設定を迂回していいってことにはなりませんけどね。

[IE Blog]

CASEY CHAN（原文／satomi）