Google的“cookies门”事件还没完,就在微软隔岸观火幸灾乐祸一石二鸟之时,突然发现自己的IE 9其实也中枪了,Google照样找到了自己的办法绕过IE 9的cookies设置,防止自己的追踪型cookies。
IE 9的规范要求放置追踪型cookies的网站必须利用W3C的P3P技术描述出自己将如何利用cookies追踪信息,如果不使用P3P标准,是不允许利用cookies来追踪用户信息的。但Google称自己不喜欢这个W3C标准,于是冰雪聪明的他们找到了一个办法绕过IE 9的这个机制,使用不符合P3P标准的cookies来追踪用户信息──按理说这种cookies应该是被IE 9禁止的。
先拿microsoft.com网站cookies里的P3P部分代码来说,是这样的:
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"
其中每三位或四位的字母都代表一种动作,好告诉浏览器自己这个cookies要做什么。而Google的P3P部分是这么写的:
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
声明自己不支持P3P政策,然后给出一个链接地址。
那么绕过P3P技术放置自己的追踪型cookies是否是正确的呢?在W3C的3.2 政策这一章里明确写有P3P的规范:
对于P3P无法精确描述网站动作的情况,网站应该使用最清晰的词汇术语对于cookies带来的后果写出自己的用户可以读的懂的政策,该政策不能是虚假的或产生歧义。
Google在自己的cookies里还真是给出了一个链接地址,告诉用户为什么自己不支持P3P技术,然后在这个链接里给出了Google的隐私政策地址。但cookies里的文字其实是给浏览器去阅读的,一个正常的用户不会翻出各家cookies仔细阅读,但其实只有这个办法用户才会知道Google放置在IE 9里的cookies是不符合P3P规范的,这个声明其实完全毫无意义。
而对浏览器而言,Google的这个P3P声明部分会让浏览器认为Google的政策不会用于任何追踪目的,于是Google靠着这个小聪明就成功绕过了IE 9和W3C对P3P的规定,即不用给浏览器声明自己要做的动作,也不必告诉用户自己的追踪动作,然后还可以堂而皇之的追踪用户信息。
如果你希望了解更多IE关于cookies的控制,以及如何阻拦Google这个小聪明的cookies来追踪你,可以参考微软的这篇博文。
Via SAI
Groklaw分析了Oracle告Google的Android侵犯Java知识产权的最新动态,Oracle已经告诉法院他们撤回自己对476号专利的14项声明。最初他们要求Google赔偿60亿美元,而现在他们在最乐观的情况下也只能拿到1亿美元了。
Google冰雪聪明的律师们对Oracle的14项侵权声明挨个见招拆招,证明他们是合法的。Oracle最多只能拿到1亿美元的赔偿,而对Google来说最关键的是:他们和众多Android用户再也不用为Android平台的命运而担心了。
Via 9to5google
昨天负责Chrome OS的高级副总裁Sundar Pichai在接受CNET采访时表示说:
我们对Chromebook仍然感到兴奋,我们获得了很积极的反馈,我们也在期待下一代的Chromebook。我们将在速度、简洁性和安全性方面继续做出改进。
看起来Chromebook要从硬件上有所改变了,否则Google只需要更新软件即可。值得注意的是如果你关注Chromium OS的issue的话,会发现有很多跟64位构架有关的内容。不过64位的Chrome OS不会使现在已发布的Acer和三星的Chromebook得到任何优势,因为它们的处理器和芯片组都只支持2GB内存,而64位最大的优势在于可以存取大于4GB的内存。
所以说下一代Chromebook如果要上64位的话,它就需要新的CPU和芯片组,内存至少要4GB起。Chrome OS真的是非常吃内存,尤其是多开几个标签页和扩展的时候。
实际上现在的Chromium浏览器和Javascript V8引擎都有对应的64位版本,只要在GYP系统使用 -Dtarget_arch=x64 即可编译出64位的Chromium for Linux,而在Linux和Mac OS X使用 –arch=x64 即可调用64位版本的Javascript V8引擎。但Windows系统下还没有相应的64位Chromium,虽然它也可以在64位系统里跑,但还是32位的。Windows下也没有64位的Javascript V8,不过要它支持64位改动应该不需要太多。
Via Chrome Story
有些时候你阅读一篇长文,突然有别的事情给打断了,即便你将文章保存到收藏夹,但下次调出来继续看的时候总是会忘了看到哪里了,很是不爽。
youRhere这枚Chrome扩展就可解决这个问题,你要做的就是点击一下它的图标,然后双击网页里的某行文字,它就被标记为黄色并记录下来了。所有记录下的网页条目都会列出来,方便今后继续阅读:
其实youRhere的强大还不仅限于此,它还具备分享功能,比如你想把某篇文章分享给别人看,但其实你想让他看的只是文章里的某一句话,那么利用这枚扩展,好友看到你在网页里做的黄色标记,就知道着重看这里了。
Via TNW
看标题是不是Google又在隐私上玩什么花样儿了?这次还真不是。我们知道,很多ISP都喜欢拦截你访问错误网址的页面,来显示一个充满广告的网页,然后用小字告诉你这个网址不存在,比如中国联通这样的。而如果你用Chrome的话,就不会看到ISP的广告页面,因为Chrome有自己的一套。
在Chrome刚刚启动的时候,它就会访问三个随机生成的不存在的网址(如上图黄色的三个网址),它们都应该返回502错误,这样Chrome在一开始就可以通过错误网址返回的IP来探测到你的ISP会不会用自己的页面来代替502错误网页。如果ISP确实有这个小动作,那么Chrome就会阻止用户用ISP来查询DNS,而是转而使用自己的查询服务。比如你错误的输入了http://guao/,那么Chrome会提示你是否要访问的是guao.hk(因为guao的Google搜索结果第一个网站就是guao.hk),而不会让你进入一个满是广告而一点忙都帮不上的ISP提供的网页。
很聪明的做法。
Via GHacks
IMG Rotate这枚Chrome扩展名如其人,就是将网页里的图片掉转方向,顺时针逆时针随便怎么转,但都是90度的倍数。有些时候,照片方向识别错了,上传到网页里也会显示成错误的方向。如果网站不提供照片转向功能的话,这个Chrome扩展还是有用武之地的。
其实不仅是图片,该扩展对一些HTML元素也可生效,但Webkit的<div>和<canvas>标签画出来的图形还不行。
Via Chrome Story
Chrome Web Store里提供了很多主题的选择,但也许依然没有你中意的,怎么办呢?安装这个Theme Creator的Chrome网页应用,自己动手,丰衣足食!
Theme Creator有一个很不错的功能就是所见即所得的实时编辑器,每次你修改一个什么参数,或是改变一个图片背景,马上就可以看到最终效果。
Via Chrome Story
来自华尔街日报的消息,Google前CEO,现执行董事的Eric Schmidt将在一年内售出大概价值14亿6千万美元的Google股票,作为稀释创始人股份计划的一部分,施大爷的股份将从2.8%下降到2.1%。由于是在一年内陆续出售,所以可降低对市场的影响。
Google二位创始人也在有计划的抛售股票。
Via TNW
Pic via SAI
Google又迎来了一次“作恶”危机,或者可以叫做“cookies门”之类的,如果电视机前的您在这个周六才刚刚打开电梯收看谷奥频道,请先观看我们之前一篇对Google “cookies门”的介绍文章,之后再来看这篇Google回应篇,对了连微软都乱入进来一石二鸟的将Apple和Google都揶揄了一把。
在东窗事发之后,Google尽管已经停止了针对Safari浏览器的问题代码,但并未做出任何道歉姿态,而是转而批评华尔街日报揭发他们的文章完全是失实的。简而言之Google是为了让Mac和iOS里的Safari用户能正常使用他们广告里的Google +1按钮才“不得不”利用了一个Safari的漏洞。包括Vibrant Media和PointRoll在内的广告公司也在这么做。
三个重点:
- Google秘密开发了一个方式,可以规避Apple Safari浏览器的隐私设置来实现更多的功能
- Google将该方式用在了自己的社交网络Google+和广告产品里
- 这个方式可以让Google利用cookies在第三方网站依然追踪到Safari用户,即便Safari的隐私设置里已经禁用了这种方式的cookies
- Safari现在已经做出了改进,移除了以前的限制,但Google当初没预计到这一点,于是还是用自己的办法绕过了Safari的限制,并一直将这个办法使用至今
为什么Google要用Safari的漏洞来hack进Safari达到自己的目的呢?Safari浏览器默认的隐私设置是允许网站在iOS设备或Mac电脑里放置cookies来实现自动登录,但默认的设置不允许第三方广告商或广告网络放置可追踪的cookies,也就是不允许google.com域名的cookie在用户访问guao.hk网站时候依然起效并追踪用户行为。里因为很多人不希望自己的隐私受到侵害,于是Safari默认的设置很严格的禁止了这种行为。
Google这边可以用普通的cookies来让用户自动登录到他们的服务,比如Gmail之类的,但它的DoubleClick广告网络就无法利用追踪型的cookies来追踪到用户在浏览器里登录其它网站的行为了。Google在去年对所有广告也引入了Google +1机制,就是允许用户对广告进行Google +1的操作,但问题来了,Google的服务和DoubleClick网络用的是不同域名,DoubleClick广告是一个域名,广告的Google +1操作是另外一个域名,Safari不允许跨域名的cookies操作,导致Google无法利用cookies关联Safari用户对广告的Google +1操作。于是Google决定找到一个解决方案,就利用了Safari的一个漏洞实现了自己的目的。
然后用Google自己的话说,现在的新版Safari已经有别的办法可以实现他们的目的了,而Google称自己当初没预计到这一点,所以至今依然在用老办法。经过华尔街日报的报道之后,他们就赶紧移除了老的方法,做了改进。但Google说的非常含糊其词,不知道Google找到什么新方法了。
无论出于什么目的,Google在Safari已经默认设置不接受追踪性cookies的情况下,依然通过“非正当”手段达到自己的目的,已经侵犯了Safari用户的隐私。人家的设置是不让你追踪到,你还hack进Safari浏览器,绕过其安全机制实现广告的追踪,这就完全说不过去了。
Google到目前为止依然没有做出任何道歉的姿态。
Via SAI
正在Google为自己辩护绕过Safari的cookies设置继续对用户浏览行为进行穷追不舍的跟踪的时候,微软不失时机的出现了,而且这次他们是一箭双雕的直接射落Apple和Google两枚目标。
在这个事件里,Google显然是要第一个被谴责的,他们无视用户已经在Safari里的设置自己鼓捣一段特殊的代码绕过Safari对cookies的禁用,继续追踪用户在浏览器里的行为。但Apple也不是没有责任,显然他们的Safari浏览器存在安全问题,导致Google钻了这个空子。
于是微软跳出来了,左手的青龙先把Apple放到在地,称自己的IE9浏览器是:
Browse Without Being Browsed(不可被第三方浏览的浏览器),拥有业界最强悍的隐私保护能力,尤其是其独特的追踪保护功能可以让用户掌握自己的在线活动。
之后微软右手的白虎则继续将Google撂倒在地,强调自己的IE 9:
没有Google、没有广告商,只有你。
Via TNW
