マイクロソフト、IEにもGoogleクッキーが密かに埋められていたと発表! Facebookクッキーも

2012.02.22 11:30
  • このエントリーをはてなブックマークに追加

120219Google.jpg


グーグルがSafariのプライバシー設定を迂回してユーザーのマシンにクッキー埋め込んで閲覧を追跡していたニュースが出た時には、「IEのセキュリティは盤石よ」と言っていたマイクロソフトですが、よくよく調べてみたら、なんとIEも迂回されてたことが分かりました

Microsoft VPディーン・ハチャモヴィッチ( Dean Hachamovitch)氏曰く、Safariの件を受けてInternet Explorerのチームが調べてみたところ、Googleが「似た手口を使ってIEにデフォルトで装備されたプライバシー保護を回避し、クッキーでIEユーザーをも追跡していた」ことが分かったのだそうな。グーグルはルールを破ってP3Pというプライバシー保護機能を回避していた、としています。
 


Googleは、クッキーに関するユーザーの設定を実質回避できるP3P仕様のニュアンスを利用した。このP3Pの仕様は、(将来プライバシーポリシーに変更があった場合に備えて余地を残しておく目的で)定義のないポリシーはブラウザ側で無視すべし、と定めたものだ。Googleがブラウザに送信するP3Pポリシーには、 Googleがクッキーやユーザー情報を使用するとの記述がない。それどころかGoogleのP3Pポリシーには、「これはP3Pポリシーでない!」とある。P3Pポリティーはブラウザが「読む」ようデザインされたものであるのにも関わらず、人間が読むことを念頭に書かれているのである。

120219MSDN.jpg

こうGoogleのポリシーにあると、P3P準拠のブラウザではCookieが追跡目的に使われない、どんな目的にも使われないものと解釈してしまうのだ。このテキストを送信することで、GoogleはCookieからユーザーを守る設定を回避し、サードパーティーのCookieがブロックされず許可されるようにしていた。

と述べた上で、マイクロソフトではさっそくIE9ユーザーをGoogleから守るトラッキング保護リスト(Tracking Protection List)をこちらに出しました。グーグルのQ&Aはこちら

なお、こないだのSafari同様、IEもこの穴(PP3のコンパクトポリシーズ[CPs]が問題なクッキーは弾くんだけど、CPが無効だとブロックしないバグ)は前からあってFacebookも全く同じことをしているとZDNetは報じてます(追:確認とれました)。昨年9月にカーネギーメロン大学が調べたサイト33,139件のうちエラーが確認されたのは11,176件で、その中にはビジター上位100のうち21のサイトも入っていたのだそうな! 

大勢やってるからってブラウザのプライバシー設定を迂回していいってことにはなりませんけどね。


[IE Blog]

CASEY CHAN(原文/satomi)
 

  • このエントリーをはてなブックマークに追加
B0051EP1SQ


remote-buy-jp2._V45733929.jpg

B005J2JHOY


remote-buy-jp2._V45733929.jpg

・関連メディア