Tags:
Node Thumbnail

ข่าวนี้ต่อจาก นักวิจัยพบ Safari มีช่องโหว่ให้กูเกิลติดตามการเข้าเว็บได้, กูเกิลได้ปิดการติดตามดังกล่าวแล้ว

หลังจากข่าวของกูเกิลกับ Safari แพร่ออกไป ทางทีมงาน IE ก็ตรวจสอบว่ากูเกิลละเมิดค่าความเป็นส่วนตัวของผู้ใช้แบบเดียวกันหรือไม่ ผลก็คือกูเกิลทำแบบเดียวกัน นั่นคือ "ลัด" (bypass) ตัวเลือกการรับคุกกี้ที่ผู้ใช้ IE กำหนดไว้

ก่อนจะเข้ารายละเอียดต้องปูพื้นกันสักหน่อยครับ

โดยปกติแล้ว เมื่อใช้ IE เข้าเว็บไซต์ใดก็ตาม IE จะรับเฉพาะคุกกี้จากเว็บไซต์นั้นๆ และปฏิเสธคุกกี้ที่มาจากโดเมนอื่น เว้นเสียแต่ว่าเว็บไซต์เจ้าของคุกกี้จะระบุข้อมูลใน HTTP header ตามมาตรฐาน P3P Compact Policy Statement (ซึ่งเป็นมาตรฐานของ W3C แต่มี IE ใช้เพียงรายเดียว) เพื่อบอก IE ว่าจะใช้งานคุกกี้อย่างไร และยืนยันว่าจะไม่ตามรอย (track) การใช้งานเว็บไซต์ของผู้ใช้

แนวคิดของ P3P คือมอบหน้าที่ให้เว็บไซต์เป็นคนระบุว่าจะใช้งานคุกกี้อย่างไร ซึ่งเบราว์เซอร์จะนำข้อมูลเหล่านี้ไปเทียบกับค่าที่ผู้ใช้ตั้งไว้ (ว่าจะรับหรือไม่รับคุกกี้แบบไหนบ้าง) และยอมรับ/ปฏิเสธให้อัตโนมัติ

ตัวอย่างการส่งข้อมูลแบบ P3P (รหัสภาษาอังกฤษแต่ละชุดคือโค้ดของ P3P บอกว่าทำอะไรกับคุกกี้บ้าง)

P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

ปัญหาเกิดขึ้นเพราะเว็บไซต์ในเครือกูเกิลจะส่งข้อมูลที่ไม่ตรงตามสเปกของ P3P ไปกับคุกกี้ แทนที่จะใส่โค้ด P3P แต่กูเกิลใส่ลิงก์ไปยังเว็บของกูเกิลแทน

P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

ตามสเปกของ W3C แล้ว ถ้าเบราว์เซอร์ได้ค่า P3P ที่ไม่ตรงตามสเปกที่ระบุ เบราว์เซอร์จะถือว่าคุกกี้นี้ไม่ตามรอยผู้ใช้ และยอมรับการใช้งานคุกกี้นั้นๆ โดยปริยาย

ผลคือ IE จะรับคุกกี้จากกูเกิล ทั้งที่กูเกิลไม่ได้ระบุค่า P3P ตามที่กูเกิลต้องการ และเป็นช่องโหว่ให้กูเกิลส่งคุกกี้ที่ผู้ใช้ไม่ต้องการเข้ามาได้ โดยที่ผู้ใช้เองก็ไม่รู้ตัว

ไมโครซอฟท์บอกว่ากูเกิล "จงใจ" ละเมิดมาตรฐาน P3P เพื่อให้คุกกี้ของกูเกิลสามารถเข้าไปเก็บข้อมูลของผู้ใช้ IE ได้

ที่มา - MSDN

อย่างไรก็ตาม รอบนี้กูเกิลได้รับเสียงสนับสนุนจาก Facebook เพราะทาง Facebook ก็ออกมาระบุว่าเว็บไซต์จำนวนมาก (รวม Facebook ด้วย) ไม่ได้ปฏิบัติตามมาตรฐาน P3P เช่นกัน

Facebook ยังให้ความเห็นว่ามาตรฐาน P3P เก่าเกินไปแล้ว มันถูกพัฒนาเมื่อ 5 ปีก่อน (อัพเดตครั้งสุดท้ายปี 2007) และไม่เหมาะกับโลกยุค social network อีกแล้ว

ที่มา - ZDNet

ฝั่งกูเกิลออกมาตอบโต้ไมโครซอฟท์ว่า เขียนข้อมูลไม่ครบ โดยมาตรฐาน P3P เป็นมาตรฐานที่ไมโครซอฟท์เป็นคนร่างเองตั้งแต่ปี 2002 แล้วค่อยส่งเข้าเป็นมาตรฐานของ W3C ซึ่งกูเกิลและเว็บไซต์อื่นๆ ไม่จำเป็นต้องทำตามที่ไมโครซอฟท์ต้องการเสมอไป

กูเกิลยังพูดเหมือนกับ Facebook ว่ามาตรฐานของไมโครซอฟท์แทบไม่มีใครใช้ และข้อมูลในปี 2010 ระบุว่าเว็บไซต์กว่า 11,000 แห่งก็ไม่ระบุข้อมูล P3P ตามที่ไมโครซอฟท์ต้องการแต่อย่างใด

ที่มา - BGR

ข่าวสุดท้ายที่ต่อเนื่องจากข่าวเก่าคือ กลุ่มผู้ใช้ Safari ที่ไม่พอใจการกระทำของกูเกิลเรื่องความเป็นส่วนตัว ยื่นฟ้องกูเกิลในข้อหาดักฟังข้อมูลของผู้ใช้ ต่อศาลเขตเดลาแวร์เรียบร้อยแล้ว ทางกูเกิลยังปฏิเสธที่จะให้ข่าวในคดีนี้

ที่มา - Businessweek

Get latest news from Blognone

Comments

By: mr_tawan
ContributoriPhoneAndroidWindows
on 22 February 2012 - 15:52 #386571
mr_tawan's picture

ดูเหมือน MS ออกมายอมรับกลาย ๆ ว่า "ผลิตภัณฑ์ของเรามีปัญหา" และ "Google ใช้ประโยชน์จากปัญหานั้นในทางที่ไม่เหมาะสม" แน่นอนว่าอันหลังมันก็ฟังดูดี แต่อันหน้ามันดูแปลก ๆ นะ


  • 9tawan.net บล็อกส่วนตัวฮับ
By: xenogew
ContributorAndroidWindows
on 22 February 2012 - 16:05 #386576 Reply to:386571
xenogew's picture

+1 ส่วนเรื่อง Safari ก็รอดูว่าเนื้อความในการฟ้องร้อง กับการเก็บข้อมูลของ Google เก็บอะไรไปบ้าง

By: Hs3RBD
iPhoneWindows
on 22 February 2012 - 17:17 #386602 Reply to:386571
Hs3RBD's picture

P3P ไม่ใช่ปัญหา

By: mr_tawan
ContributoriPhoneAndroidWindows
on 22 February 2012 - 17:33 #386609 Reply to:386602
mr_tawan's picture

ผลคือ IE จะรับคุกกี้จากกูเกิล ทั้งที่กูเกิลไม่ได้ระบุค่า P3P ตามที่กูเกิลต้องการ และเป็นช่องโหว่ให้กูเกิลส่งคุกกี้ที่ผู้ใช้ไม่ต้องการเข้ามาได้ โดยที่ผู้ใช้เองก็ไม่รู้ตัว

ผมว่า คำว่า "ช่องโหว่" ก็พอจะเรียกว่าเป็นปัญหาได้แล้วนะครับ ส่วนตัวคิดว่า ถ้า input ไม่ได้อยู่ในช่วงที่รับได้ก็ควรจะ reject ไม่ใช่ accept


  • 9tawan.net บล็อกส่วนตัวฮับ
By: AMp
In Love
on 22 February 2012 - 20:40 #386645 Reply to:386609

เห็นด้วยครับ มาตรฐานมันดูเพี้ยนพิกล (ไม่ระบุ หรือระบุมาผิดมาตรฐาน ควรจะให้ผลเหมือนกัน คือไม่ไว้ใจคุกกี้นั้นๆ)

By: -Rookies-
ContributorAndroidWindowsIn Love
on 22 February 2012 - 23:10 #386685 Reply to:386645

+1 คิดเหมือนกัน ฟังดูเพี้ยนพิกล


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: hisoft
ContributorWindows PhoneWindows
on 23 February 2012 - 00:11 #386703 Reply to:386645
hisoft's picture

ถ้าไม่ระบุคงต้องไว้ใจครับ ไม่งั้น IE จะเป็น Browser ตัวเดียวที่เข้าเว็บส่วนมากไม่ได้ แต่ถ้าระบุมาผิดนี่สมควรไม่ไว้ใจ

By: breambeem
UbuntuWindows
on 22 February 2012 - 16:18 #386583

แย่จัง กูเกิลรู้หมดเลยว่า เราไปกูเกิลอะไรบนกูเกิลบ้าง (ประชด) -__-

By: NgOrXz
iPhoneAndroidWindows
on 22 February 2012 - 16:27 #386585
NgOrXz's picture

ควรจะยื่นฟ้อง Browser มากกว่าเปล่าเนี้ย

By: amdo
iPhoneAndroidWindows
on 22 February 2012 - 16:59 #386594 Reply to:386585
amdo's picture

ไม่ค่อยเกี่ยวกะ browser เท่าไหร่นะครับ ผมว่ามันเป็นปัญหาเรื่อง Standard ที่หลายๆ เว็บแย้งว่า "มันไม่ใช่ Standard ซะหน่อย" เลยไม่ยอมทำตามกฏมากกว่า

By: iStyle
ContributoriPhoneAndroidSymbian
on 22 February 2012 - 22:02 #386667
iStyle's picture

โครมล่ะ?


May the Force Close be with you. || @nuttyi

By: l2aelba
iPhoneAndroid
on 23 February 2012 - 00:55 #386718
l2aelba's picture

อะไรคือ IE ?

By: Be1con
ContributorWindows PhoneWindowsIn Love
on 23 February 2012 - 11:34 #386825 Reply to:386718
Be1con's picture

555555


Coder | Designer | Thinker | Blogger

By: Go-Kung
iPhoneWindows PhoneAndroidBlackberry
on 23 February 2012 - 03:29 #386764

ปัญหาโลกแตกของสงคราม Web Browser

Standard หลากหลายที่แม้แต่ W3C ยังควบคุมได้ไม่หมด

By: skuma
iPhoneWindows PhoneAndroidBlackberry
on 23 February 2012 - 08:35 #386779
skuma's picture

คือ ทั้งสองตัว มีข้อผิดพลาด เองนะ แต่ อ้างว่า Google มาใช้ความผิดพลาดนี้ให้เกิดประโยชนน์

By: EThaiZone
ContributorAndroidUbuntuWindows
on 23 February 2012 - 12:49 #386864
EThaiZone's picture

P3P คุ้นๆ ว่าคนทำ apps บน facebook จะเจอปัญหานี้เมื่อเรียกผ่าน iframe ในหน้า facebook


มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB