Microsofts privatlivs-forbedring i Internet Explorer 10 slår fejl

eller naivt forsøg på at score "sikkerhedspoint"?

Der er ingen tvivl om at det er bevist sabotage. Hvis man hopper ind på github så ligger den her ændring under overskriften "Apache does not tolerate deliberate abuse of open standards" med en længere diskussion i kommentarerne.

Det er måske lige værd at nævne at IE også har "Tracking Protection" som dog desværre ikke er slået til som standard. Her blokerer den automatisk indhold baseret på hvor mange sider indholdet er set på, eller specifikke blacklists.
Til dem der er interesseret, så er her et screenshot af hvordan det ser ud når man vælger om DNT skal være slået til eller slået fra. http://www.computerworld.com/common/images/site/features/2012/08/Express...

Jeg synes ikke man kan sige at Microsoft slår DNT til som standard. Derimod har man som bruger mulighed for enten at sige ja til den her liste af indstillinger eller vælge specifikke indstillinger for hvert punkt. DNT bliver ikke skjult eller stoppet ned i halsen på nogen som helst, så den her Apache patch er ikke andet end et internt opgør.

Hvis ikke industriens aktører kan finde ud af at regulere det her spørgsmål i henhold til en frivillig kodeks, må lovgiverne træde til. Alt andet er utilstedeligt.

Det er da en fjollet idé at lade det være op til serveren at beslutte, om den vil respektere ens ønske om privatliv.

Hvis Microsoft ville gøre noget for deres brugeres privatliv, skulle de hellere tilføje funktionalitet i stil med Ghostery til IE.

"Du har valgt at slå DNT til.
Da du derfor ingen værdi har for vores annoncer, kan vi ikke give dig gratis adgang til vores sideindhold, og du bedes tegne et abonnement i stedet"

Meget af dette er blår for folket.
Dette uanset hvilken browser der bruges.

Enig - men hvad er alternativet? Hvis du tror dig sikker på anonymitet pga ghostery, så tror du fejl.

https://panopticlick.eff.org/index.php?action=log&js=yes

Hmm.. I min optik er det hverken browser, program, operativsystem eller server, som skal 'bestemme' indstillingerne for MIN sikkerhedspolitik i fbm. Internetsurfing. Det vil jeg da absolut selv helst bestemme. 8-)

Men hvis du ikke kan det?

38394 -> Tjaeh... så må jeg jo affinde mig med det ..eller vælge et andet produkt. ;-)

Vil en Apache server afvise private sikkerhedsinstillinger vdr. Do Not Track-funktionen i alle browsere som understøtter dette: IE, Firefox, m.fl.? ...eller er det 'kun' i forb.m. installation af IE 10 der nævnes i artiklen? Nu er jeg lidt forvirret omkring hvad der egentlig menes med; "ignorere indstillingen " som nævnt i artiklen og er ikke så stærk i internetserver applikationer (Apache, IIS, osv.), så er der nogen eksperter som kan lede mig på rette spor? </molo>

Henrik, nu er jeg ikke nogen ekspert, men det er kun IE10.

Her er patchen: https://github.com/apache/httpd/commit/a381ff35fa4d50a5f7b9f64300dfd9885...

For at præcisere min kommentar ang. IE 10 osv. Det er denne kommentar i artiklen jeg IKKE helt forstår:

CITAT

Annonceindustrien på nettet, som kan blive hårdt ramt, hvis mange slår Do Not Track til, har også truet med at ignorere indstillingen helt, hvis Microsoft slår det til som standard.

CITAT SLUT

Hvorledes har de tænkt sig at gøre dette?

Er det virkelig teknisk muligt at ignorere sikkerhedsindstillinger for f.eks. 3. part cookies? For så er enhver tale om sikkerhed da helt hen i vejret !!!

</molo>

Problemet er at det ikke er en lokal sikkerhedsindstilling. Do Not Track er ikke andet end en header som browseren sender ved requests til serveren. Dvs. at DNT ikke er andet end en pæn forespørgsel til serveren om ikke at sende noget slemt den anden vej.

Her er den GET request som min browser sender til version 2 når jeg loader siden:

GET http://www.version2.dk/ HTTP/1.1
...
User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)
...
DNT: 1
...

For at Do Not Track skal virke skal version2s website aktivt tjekke om DNT er sat til 1 og så ikke sætte nogen cookies eller andet sjov. Problemet er at Apache nu i standard konfigurationsfilen sorterer headeren fra, så når version2 i deres php script så tjekker om headeren DNT er sat, så vil scriptet altid returnere false da serveren filtrerer headeren fra inden den når til php scriptet.

SÅ ja, det er teknisk muligt, fordi DNT ikke har noget med client-side at gøre og ikke bestemmer noget over server-side.

Tak for det kompetente svar Jacob Smedegård :-)

Jamen, nu forstår jeg SLET ingenting: http://allthingsd.com/20120913/google-finally-adds-do-not-track-support-...
8-( </molo>

Ps. ..bemærk, hvad der skrives rundt omkring i denne stund:

CITAT

..users will think they’re not being tracked since they explicitly changed a setting (seems like a reasonable assumption!) — but they may just be making a request that can be ignored. Talk about defeating the purpose.

CITAT SLUT

Kilde: http://allthingsd.com/20120913/google-finally-adds-do-not-track-support-...

Netop MIN pointe ;-)

</molo>