Google: Microsoft wist van zinloos cookiebeleid
Gisteren kondigde Microsoft aan dat Google ook IE-gebruikers stiekem zou volgen, maar volgens de zoekgigant weet Microsoft al lang dat hun P3P-protocol niet meer functioneel is. Sterker nog, ook sommige diensten van Microsoft houden zich hier niet aan. Het P3P-protocol werd in 2002 door Microsoft ontwikkeld en vraagt de website om hun privacybeleid in een door een machine leesbare vorm aan te bieden. "Het is al lang bekend, onder andere bij Microsoft, dat het onpraktisch is om aan Microsoft's verzoek te voldoen, en tevens moderne webfunctionaliteit te bieden", laat Rachel Whetstone, Senior Vice President Communicatie en Beleid, in een verklaring aan Security.nl weten.
Een onderzoeksrapport uit 2010 liet al zien dat meer dan 11.000 websites geen geldig P3P-beleid uitgeven zoals Microsoft dit wil. Volgens Whetstone komt het P3P-protocol erop neer dat de website de functionaliteit van de cookies moet tonen, waarbij Microsoft vervolgens bepaalt of ze worden toegestaan. Nieuwe op cookie-gebaseerde features zouden door het P3P-protocol niet meer werken. Whetstone stelt dat het protocol grotendeels niet meer operationeel is.
Verouderd
In 2010 bevestigde TRUSTe, een organisatie die websites helpt met de implementatie van privacystandaarden, dat de meeste websites die ze certificeren geen geldig P3P-beleid gebruiken zoals Microsoft dit wil. Minder dan 12% van de 3.000 TRUSTe websites hebben een P3P-beleid. Uit dit onderzoek van Carnegie Mellon blijkt dat van 33.000 onderzochte websites, er 11.000 geen geldig P3P-beleid hebben, waaronder Microsoft's eigen Live.com en MSN.com websites.
"Het bericht van Microsoft, gegeven wat al lang over IE en de P3P-problemen bekend is, is op z'n zachtst gezegd oneerlijk, en zorgt er niet voor dat het probleem rond deze complexe problematiek wordt opgelost", zegt privacyonderzoeker Lauren Weinstein. Ze krijgt bijval van privacyonderzoeker en Google-criticus Chris Soghoian. "In plaats van de P3P-gaten in IE ,die Facbeook en Amazon misbruiken, op te lossen, deed Microsoft niets. Nu klagen ze omdat Google het gebruikt."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!