谷奥——探寻谷歌的奥秘

Google的“cookies门”事件还没完，就在微软隔岸观火幸灾乐祸一石二鸟之时，突然发现自己的IE 9其实也中枪了，Google照样找到了自己的办法绕过IE 9的cookies设置，防止自己的追踪型cookies。

IE 9的规范要求放置追踪型cookies的网站必须利用W3C的P3P技术描述出自己将如何利用cookies追踪信息，如果不使用P3P标准，是不允许利用cookies来追踪用户信息的。但Google称自己不喜欢这个W3C标准，于是冰雪聪明的他们找到了一个办法绕过IE 9的这个机制，使用不符合P3P标准的cookies来追踪用户信息──按理说这种cookies应该是被IE 9禁止的。

先拿microsoft.com网站cookies里的P3P部分代码来说，是这样的：

P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

其中每三位或四位的字母都代表一种动作，好告诉浏览器自己这个cookies要做什么。而Google的P3P部分是这么写的：

P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

声明自己不支持P3P政策，然后给出一个链接地址。

那么绕过P3P技术放置自己的追踪型cookies是否是正确的呢？在W3C的3.2 政策这一章里明确写有P3P的规范：

对于P3P无法精确描述网站动作的情况，网站应该使用最清晰的词汇术语对于cookies带来的后果写出自己的用户可以读的懂的政策，该政策不能是虚假的或产生歧义。

Google在自己的cookies里还真是给出了一个链接地址，告诉用户为什么自己不支持P3P技术，然后在这个链接里给出了Google的隐私政策地址。但cookies里的文字其实是给浏览器去阅读的，一个正常的用户不会翻出各家cookies仔细阅读，但其实只有这个办法用户才会知道Google放置在IE 9里的cookies是不符合P3P规范的，这个声明其实完全毫无意义。

而对浏览器而言，Google的这个P3P声明部分会让浏览器认为Google的政策不会用于任何追踪目的，于是Google靠着这个小聪明就成功绕过了IE 9和W3C对P3P的规定，即不用给浏览器声明自己要做的动作，也不必告诉用户自己的追踪动作，然后还可以堂而皇之的追踪用户信息。

如果你希望了解更多IE关于cookies的控制，以及如何阻拦Google这个小聪明的cookies来追踪你，可以参考微软的这篇博文。

Via SAI

Related posts

• 微软又犯轴了，不让 Chrome 浏览器运行在 ARM Windows 8 里
• Google Reader 更新，停止对 IE6 的支持
• Google Instant 即将支持 IE9 的 Trident 5 渲染引擎
• 谷奥访问者的浏览器分布
• 2010年12月，Chrome 市场占有率无限接近 10%
• Google Apps 将只支持最新版的浏览器使用
• Google Toolbar 7 for IE 发布，加强隐私控制
• 天呐，Google 在首页放了一个可下载的 .exe 文件
• 浏览器大 PK，用 CSS 画哆啦A梦
• Google Chrome Frame 首次升级，新版本 4.0.245.1