Google的“cookies门”事件还没完,就在微软隔岸观火幸灾乐祸一石二鸟之时,突然发现自己的IE 9其实也中枪了,Google照样找到了自己的办法绕过IE 9的cookies设置,防止自己的追踪型cookies。
IE 9的规范要求放置追踪型cookies的网站必须利用W3C的P3P技术描述出自己将如何利用cookies追踪信息,如果不使用P3P标准,是不允许利用cookies来追踪用户信息的。但Google称自己不喜欢这个W3C标准,于是冰雪聪明的他们找到了一个办法绕过IE 9的这个机制,使用不符合P3P标准的cookies来追踪用户信息──按理说这种cookies应该是被IE 9禁止的。
先拿microsoft.com网站cookies里的P3P部分代码来说,是这样的:
P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"
其中每三位或四位的字母都代表一种动作,好告诉浏览器自己这个cookies要做什么。而Google的P3P部分是这么写的:
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
声明自己不支持P3P政策,然后给出一个链接地址。
那么绕过P3P技术放置自己的追踪型cookies是否是正确的呢?在W3C的3.2 政策这一章里明确写有P3P的规范:
对于P3P无法精确描述网站动作的情况,网站应该使用最清晰的词汇术语对于cookies带来的后果写出自己的用户可以读的懂的政策,该政策不能是虚假的或产生歧义。
Google在自己的cookies里还真是给出了一个链接地址,告诉用户为什么自己不支持P3P技术,然后在这个链接里给出了Google的隐私政策地址。但cookies里的文字其实是给浏览器去阅读的,一个正常的用户不会翻出各家cookies仔细阅读,但其实只有这个办法用户才会知道Google放置在IE 9里的cookies是不符合P3P规范的,这个声明其实完全毫无意义。
而对浏览器而言,Google的这个P3P声明部分会让浏览器认为Google的政策不会用于任何追踪目的,于是Google靠着这个小聪明就成功绕过了IE 9和W3C对P3P的规定,即不用给浏览器声明自己要做的动作,也不必告诉用户自己的追踪动作,然后还可以堂而皇之的追踪用户信息。
如果你希望了解更多IE关于cookies的控制,以及如何阻拦Google这个小聪明的cookies来追踪你,可以参考微软的这篇博文。
Via SAI
Google又迎来了一次“作恶”危机,或者可以叫做“cookies门”之类的,如果电视机前的您在这个周六才刚刚打开电梯收看谷奥频道,请先观看我们之前一篇对Google “cookies门”的介绍文章,之后再来看这篇Google回应篇,对了连微软都乱入进来一石二鸟的将Apple和Google都揶揄了一把。
在东窗事发之后,Google尽管已经停止了针对Safari浏览器的问题代码,但并未做出任何道歉姿态,而是转而批评华尔街日报揭发他们的文章完全是失实的。简而言之Google是为了让Mac和iOS里的Safari用户能正常使用他们广告里的Google +1按钮才“不得不”利用了一个Safari的漏洞。包括Vibrant Media和PointRoll在内的广告公司也在这么做。
三个重点:
- Google秘密开发了一个方式,可以规避Apple Safari浏览器的隐私设置来实现更多的功能
- Google将该方式用在了自己的社交网络Google+和广告产品里
- 这个方式可以让Google利用cookies在第三方网站依然追踪到Safari用户,即便Safari的隐私设置里已经禁用了这种方式的cookies
- Safari现在已经做出了改进,移除了以前的限制,但Google当初没预计到这一点,于是还是用自己的办法绕过了Safari的限制,并一直将这个办法使用至今
为什么Google要用Safari的漏洞来hack进Safari达到自己的目的呢?Safari浏览器默认的隐私设置是允许网站在iOS设备或Mac电脑里放置cookies来实现自动登录,但默认的设置不允许第三方广告商或广告网络放置可追踪的cookies,也就是不允许google.com域名的cookie在用户访问guao.hk网站时候依然起效并追踪用户行为。里因为很多人不希望自己的隐私受到侵害,于是Safari默认的设置很严格的禁止了这种行为。
Google这边可以用普通的cookies来让用户自动登录到他们的服务,比如Gmail之类的,但它的DoubleClick广告网络就无法利用追踪型的cookies来追踪到用户在浏览器里登录其它网站的行为了。Google在去年对所有广告也引入了Google +1机制,就是允许用户对广告进行Google +1的操作,但问题来了,Google的服务和DoubleClick网络用的是不同域名,DoubleClick广告是一个域名,广告的Google +1操作是另外一个域名,Safari不允许跨域名的cookies操作,导致Google无法利用cookies关联Safari用户对广告的Google +1操作。于是Google决定找到一个解决方案,就利用了Safari的一个漏洞实现了自己的目的。
然后用Google自己的话说,现在的新版Safari已经有别的办法可以实现他们的目的了,而Google称自己当初没预计到这一点,所以至今依然在用老办法。经过华尔街日报的报道之后,他们就赶紧移除了老的方法,做了改进。但Google说的非常含糊其词,不知道Google找到什么新方法了。
无论出于什么目的,Google在Safari已经默认设置不接受追踪性cookies的情况下,依然通过“非正当”手段达到自己的目的,已经侵犯了Safari用户的隐私。人家的设置是不让你追踪到,你还hack进Safari浏览器,绕过其安全机制实现广告的追踪,这就完全说不过去了。
Google到目前为止依然没有做出任何道歉的姿态。
Via SAI
华尔街日报今天的爆料又让Google公关凌乱了,他们题为“Google的iPhone追踪”的文章断言Google和其它一些广告公司可绕过iPhone和Mac电脑上的Safari浏览器隐私设置,即便用户已经关闭了cookies的接收,Google依然可以通过一种特殊的机制来追踪用户在浏览器里的活动。Google使用了一种特殊的电脑代码让Apple的Safari浏览器在关闭cookies的情况下依然允许监控用户的行为。
Google和Apple都在第一时间承认了这个问题,Apple表示会尽快找到一个办法阻截这种绕过Safari隐私设置的办法,而Google则迅速禁用了这段问题代码,然后发表声明说:
华尔街日报误读了这个事情,我们已经让登录的Google用户允许我们跟踪广告,所以需要让Safari提供这些功能。需要着重强调的是,这些广告cookies不会收集个人信息。
这是斯坦福的研究人员Jonathan Mayer发现的,Google 和 Media Innovation Group, Vibrant Media, Gannett PointRoll 这些广告公司涮了Apple的Safari浏览器,让浏览器以为用户正在像Google提交一个隐形的表单,这样Google的cookie追踪代码即可安装到Mac和iPhone上继续追踪用户的活动。在此之后,Safari就允许Google随后安装的一系列cookies了,即便当时Safari浏览器的隐私设置已经不再允许接收cookies。
Google现在强调的是,他们这么做是为了给已经登录Google帐户并事先设置允许Google追踪他们的活动以改进广告显示相关性的用户继续提供这种服务。但争论的焦点在于,Safari已经关闭cookies追踪在先,Google就应该老老实实按照浏览器的设置不再追踪用户信息,而不应该按照用户在其它电脑上的设置继续对其进行追踪。
另外如果Google真的觉得自己在理,为啥在华尔街日报报道发布之后赶紧关闭了那些追踪代码呢?
Via TNW and 9to5google
来自The Economic Times的报道,法国商业法庭判定Bottin Cartographes诉讼Google法国和其母公司Google不正当竞争,因为他们为一些企业提供免费的地图服务。
Bottin Cartographes是法国一家地图服务公司,包括路易斯·威登、Airbus等好几家企业都是他们的客户,他们为客户提供付费的地图服务,而Google Maps则给他们提供免费的服务。法国法庭判决Google需要为不正当竞争支付50万欧元的赔偿给Bottin Cartographes,另外还要支付1万5千元的罚款。
一位Google法国发言人说他们还在研究法院的判决结果以做出自己的下一步对策,但他们仍然认为免费的高质量地图工具对互联网用户和网站都是个好事。
Via SEL
据景德镇镇内媒体报道,Google已经错过了递交地图运营许可的最后日期(2012年2月1日,也就是今天),但是Google一位发言人则说他们还在谈判中:
我们现在正和政府讨论关于如何在中国提供地图产品的问题。
今天是想在景德镇内运营地图服务的公司向国家测绘局递交许可请求的最后期限,不过很多新闻媒体却说自己没有递交申请。让人奇怪的是路透社在去年6月就报道过,Google山寨城总部当时已经确认了他们已经交出了申请,现在也不知道到底是怎么回事了。
Via TNW
年初爆出的Google肯尼亚抄袭Mocality数据库的丑闻有了最终处理结果,Kenya的Olga Arara-Kimani和一名苏黎世的技术员被Google炒掉了。尽管Google官方没有发布声明,但Google EMEA高级副总裁Nelson Motta在Google+里确认了这个处理结果:
我们在仔细调查对抄袭肯尼亚Mocality网站数据之后,发现这确实是事实。我们采取了适当的行动对当事人做出了处理,并修改了运营方式以确保类似事件不会再次发生。
Via TNW
去年8月爆出Google接受了美国司法部就药剂反倾销调查的5亿美元罚款,更劲爆的是Larry Page其实早就知道非法广告的存在,这五亿美元和解费可免于他和Google众高管受到刑事起诉。最近华尔街日报详细报道了整个事件的来龙去脉,我们可以看到更多美国政府利用骗子“钓鱼执法”的细节。
上图里这个哥们叫David Whitaker,是一位著名骗子,于2008年3月被捕后同意帮助美国进行卧底行动。美国政府已经怀疑Google正在通过非法发布医药广告而帮助这些非法药房获利,于是请来了这位骗子,Whitaker化名Jason Corriente,找到Google销售高管称要为自己的非法类固醇和生长激素销售网站www.sportsdrugs.net打广告(实际上这个网站是美国政府建立的)。最初这个网站被Google拒绝了,不过在美国政府找人在网站提交表单表达要买这些非法药物之后,Google最终还是通过了这个网站。之后网站又陆续增加了毒品,RU-486堕胎药和其它处方药,而Google的AdWords依然允许这个网站在Google搜索里投放广告。
对Google销售高管称自己是一位加拿大医药经销商,他将从政府手里拿来的20万美元交到了Google手里,称要发布一些非法广告。然后Google销售高管们就直接上钩了,美国政府之后逐一记录了骗子和Google销售高管之间的通话和邮件,其中就显示出这些Google销售高管已经完全意识到这个所谓的药房是非法的以及其犯罪的影响,但还是收下了广告费。Whitaker告诉华尔街日报说:
对Google来说很明显我的网站不是授权的药房,他们知道这一点,但Google给了我非常大的自由度,允许我直接向美国消费者刊登有针对性的广告。
根据美国政府的调查,这一问题的严重性并不只限于几个广告高管,首席检察官Peter Neronha说他们有证据证明Google联合创始人之一的Larry Page也知道这一行为,也知道这是不合法的:
我们通过获取到的文档和询问过的证人,很轻易的就可知道Larry Page知道发生了什么事。
Via GIZMODO
据爱尔兰时报报道,Google爱尔兰公司在去年年底前承认了去年9月被发现街景小车在Main Street, Castleisland, Co Kerry乱停车的错误行为,接受了450欧元的处罚。Google选择在圣诞节前将钱捐给救济箱,以避免被交通道路法定罪。
Via TNW
昨天Google被发现直接抓取肯尼亚创业公司Mocality的数据库,以获得肯尼亚本地的商户信息,然后当Google给这些商户致电的时候会告诉商户说自己是跟Mocality有合作的。但其实他们之间完全没有任何合作。
今天Google的产品和工程VP Nelson Mattos发布了新的声明:
我们惭愧的发现有一个Google团队的人不当的使用了Mocality的数据,并歪曲了我们与Mocality之间的关系来鼓励客户创建新的网站。我们已经向Mocality道歉。我们依然在调查事件发生的原因,一旦我们掌握了所有的事实,我们将对当事人做出应有的惩罚。
据说是因为Google雇佣了一些独立的公司以短期合同的方式让他们致电小型企业,帮助他们上网设立网站。Google提供给这些公司了一些致电之后可以说的话的脚本,其实Google完全没有写过任何脚本提到Mocality,所以很可能是某个外包的公司自己篡改了脚本,为了拉到更多客户于是谎称自己跟Mocality有合作。
Via SAI
关于Google涉嫌付费买Chrome下载链接的争论还在继续。首先是来自广告公司Unruly的声明,他们称自己并未要求博主在博文里给出Chrome的下载连接,他们的目标只是推广Chrome的广告视频。然后Google也说他们的本意并非是买在线广告和链接,只是想买视频,而链接到一段YouTube的Chrome推广视频,是不会对Chrome的搜索排名产生任何影响的。至于博主在自己的博文里给出了Chrome下载链接地址是他们的个人行为,并非付费广告的一部分。
不过尽管如此,Google自家对抗搜索引擎垃圾信息的团队还是决定给Chrome下载主页降级,Google的声明说:
我们在调查之后人工将www.google.com/chrome的PageRank做了降级,并且该惩罚会持续60天。
尽管Google并非直接授权的这一推广获得,我们也没发现有违反管理员守则之处,但我们相信Google应该遵守更高的标准,于是做出了比其它网站更严格的措施。
目前Chrome下载页的PageRank是9,比最高的10确实少了一级……当然给公众看到的PageRank通常来说都有滞后性,所以我们现在无法知道内部的PageRank到底被降到多少了。不过可以肯定的是,PageRank现在已经不代表一切了。尽管现在搜索chrome, google chrome的话Chrome的下载页已经不在第一位出现,但是位于第一位的是Chrome安装的帮助页面,而Chrome下载页则作为其sitelink出现(如上图)。
到是搜索“browser”的话,在第一页看不到Chrome下载页了,它被惩罚到了第五页:
还在休假中的Matt Cutts也对此事发表了看法,他说如果你调查20多个受到赞助的博客的文章的话会发现并非所有文章都给出了Chrome下载链接,不过即便是这样,这种行为只要存在有一例,就说明已经违反了Google的管理员守则,因为付费链接确实传递了PageRank。所以Google团队对自己进行了60天的惩罚,也算合情合理了。
Via SEL
