ข่าวนี้ต่อจาก นักวิจัยพบ Safari มีช่องโหว่ให้กูเกิลติดตามการเข้าเว็บได้, กูเกิลได้ปิดการติดตามดังกล่าวแล้ว
หลังจากข่าวของกูเกิลกับ Safari แพร่ออกไป ทางทีมงาน IE ก็ตรวจสอบว่ากูเกิลละเมิดค่าความเป็นส่วนตัวของผู้ใช้แบบเดียวกันหรือไม่ ผลก็คือกูเกิลทำแบบเดียวกัน นั่นคือ "ลัด" (bypass) ตัวเลือกการรับคุกกี้ที่ผู้ใช้ IE กำหนดไว้
ก่อนจะเข้ารายละเอียดต้องปูพื้นกันสักหน่อยครับ
โดยปกติแล้ว เมื่อใช้ IE เข้าเว็บไซต์ใดก็ตาม IE จะรับเฉพาะคุกกี้จากเว็บไซต์นั้นๆ และปฏิเสธคุกกี้ที่มาจากโดเมนอื่น เว้นเสียแต่ว่าเว็บไซต์เจ้าของคุกกี้จะระบุข้อมูลใน HTTP header ตามมาตรฐาน P3P Compact Policy Statement (ซึ่งเป็นมาตรฐานของ W3C แต่มี IE ใช้เพียงรายเดียว) เพื่อบอก IE ว่าจะใช้งานคุกกี้อย่างไร และยืนยันว่าจะไม่ตามรอย (track) การใช้งานเว็บไซต์ของผู้ใช้
แนวคิดของ P3P คือมอบหน้าที่ให้เว็บไซต์เป็นคนระบุว่าจะใช้งานคุกกี้อย่างไร ซึ่งเบราว์เซอร์จะนำข้อมูลเหล่านี้ไปเทียบกับค่าที่ผู้ใช้ตั้งไว้ (ว่าจะรับหรือไม่รับคุกกี้แบบไหนบ้าง) และยอมรับ/ปฏิเสธให้อัตโนมัติ
ตัวอย่างการส่งข้อมูลแบบ P3P (รหัสภาษาอังกฤษแต่ละชุดคือโค้ดของ P3P บอกว่าทำอะไรกับคุกกี้บ้าง)
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"
ปัญหาเกิดขึ้นเพราะเว็บไซต์ในเครือกูเกิลจะส่งข้อมูลที่ไม่ตรงตามสเปกของ P3P ไปกับคุกกี้ แทนที่จะใส่โค้ด P3P แต่กูเกิลใส่ลิงก์ไปยังเว็บของกูเกิลแทน
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
ตามสเปกของ W3C แล้ว ถ้าเบราว์เซอร์ได้ค่า P3P ที่ไม่ตรงตามสเปกที่ระบุ เบราว์เซอร์จะถือว่าคุกกี้นี้ไม่ตามรอยผู้ใช้ และยอมรับการใช้งานคุกกี้นั้นๆ โดยปริยาย
ผลคือ IE จะรับคุกกี้จากกูเกิล ทั้งที่กูเกิลไม่ได้ระบุค่า P3P ตามที่กูเกิลต้องการ และเป็นช่องโหว่ให้กูเกิลส่งคุกกี้ที่ผู้ใช้ไม่ต้องการเข้ามาได้ โดยที่ผู้ใช้เองก็ไม่รู้ตัว
ไมโครซอฟท์บอกว่ากูเกิล "จงใจ" ละเมิดมาตรฐาน P3P เพื่อให้คุกกี้ของกูเกิลสามารถเข้าไปเก็บข้อมูลของผู้ใช้ IE ได้
ที่มา - MSDN
อย่างไรก็ตาม รอบนี้กูเกิลได้รับเสียงสนับสนุนจาก Facebook เพราะทาง Facebook ก็ออกมาระบุว่าเว็บไซต์จำนวนมาก (รวม Facebook ด้วย) ไม่ได้ปฏิบัติตามมาตรฐาน P3P เช่นกัน
Facebook ยังให้ความเห็นว่ามาตรฐาน P3P เก่าเกินไปแล้ว มันถูกพัฒนาเมื่อ 5 ปีก่อน (อัพเดตครั้งสุดท้ายปี 2007) และไม่เหมาะกับโลกยุค social network อีกแล้ว
ที่มา - ZDNet
ฝั่งกูเกิลออกมาตอบโต้ไมโครซอฟท์ว่า เขียนข้อมูลไม่ครบ โดยมาตรฐาน P3P เป็นมาตรฐานที่ไมโครซอฟท์เป็นคนร่างเองตั้งแต่ปี 2002 แล้วค่อยส่งเข้าเป็นมาตรฐานของ W3C ซึ่งกูเกิลและเว็บไซต์อื่นๆ ไม่จำเป็นต้องทำตามที่ไมโครซอฟท์ต้องการเสมอไป
กูเกิลยังพูดเหมือนกับ Facebook ว่ามาตรฐานของไมโครซอฟท์แทบไม่มีใครใช้ และข้อมูลในปี 2010 ระบุว่าเว็บไซต์กว่า 11,000 แห่งก็ไม่ระบุข้อมูล P3P ตามที่ไมโครซอฟท์ต้องการแต่อย่างใด
ที่มา - BGR
ข่าวสุดท้ายที่ต่อเนื่องจากข่าวเก่าคือ กลุ่มผู้ใช้ Safari ที่ไม่พอใจการกระทำของกูเกิลเรื่องความเป็นส่วนตัว ยื่นฟ้องกูเกิลในข้อหาดักฟังข้อมูลของผู้ใช้ ต่อศาลเขตเดลาแวร์เรียบร้อยแล้ว ทางกูเกิลยังปฏิเสธที่จะให้ข่าวในคดีนี้
ที่มา - Businessweek