Microsofts privatlivs-forbedring i Internet Explorer 10 slår fejl

14. september 2012 kl. 08:2816
Microsofts privatlivs-forbedring i Internet Explorer 10 slår fejl
Illustration: Privatfoto.
Når Internet Explorer 10 kommer på gaden, vil funktionen Do Not Track været slået til som standard. Men netop derfor vil verdens mest brugte webserver Apache ignorere indstillingen og dermed ødelægge hele konceptet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Da Microsoft tidligere i år annoncerede, at brugerne af Windows 8 og standardbrowseren Internet Explorer 10 ville få beskyttet deres privatliv langt bedre end før, var ikke alle lige imponerede.

Microsoft har nemlig valgt at slå Do Not Track-funktionen til som standard, og dermed vil en stor del af verdens internetbrugere i praksis ende med at bevæge sig ud på nettet med Do Not Track slået til, uden at have taget stilling til det.

Det er faldet de store annonce-netværk på nettet for brystet, for meningen med Do Not Track er, at en webside skulle respektere et ønske om øget privatliv og holde sig fra at placere såkaldte tracking-cookies hos brugeren, altså cookies som gør det muligt at genkende en besøgende og servere målrettede reklamer.

Nu tager diskussionen om Microsofts valg en ny drejning. Apache, verdens mest brugte webserver, får nu en opdatering, så Do Not Track-indstillingen vil blive ignoreret hos alle besøgende med Internet Explorer 10. Det skriver Cnet.com.

Artiklen fortsætter efter annoncen

Bag opdateringen står en af arkitekterne bag Do Not Track-standarden, Roy Fielding fra Adobe, som peger på, at Microsoft går imod aftalen bag Do Not Track. Her er det nemlig et krav, at brugeren selv vælger at spærre for tracking-cookies.

Og spørgsmålet er nu, hvordan det skal tolkes. Når en Windows 8-bruger fyrer op for styresystemet for første gang, er der mulighed for ’ekspres’-indstillinger, som vil slå Do Not Track til som standard. Men brugeren kan også selv vælge indstillinger undervejs.

Annonceindustrien på nettet, som kan blive hårdt ramt, hvis mange slår Do Not Track til, har også truet med at ignorere indstillingen helt, hvis Microsoft slår det til som standard.

Ligeledes har Mozilla, som var med til at opfinde Do Not Track-funktionen, været kritisk over for Microsofts valg om at slå funktionen til som standard.

16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
17. september 2012 kl. 13:23

Ps. ..bemærk, hvad der skrives rundt omkring i denne stund:

CITAT

..users will think they’re not being tracked since they explicitly changed a setting (seems like a reasonable assumption!) — but they may just be making a request that can be ignored. Talk about defeating the purpose.

CITAT SLUT

Kilde: http://allthingsd.com/20120913/google-finally-adds-do-not-track-support-in-latest-test-version-of-chrome/

Netop MIN pointe ;-)

13
17. september 2012 kl. 08:44

For at præcisere min kommentar ang. IE 10 osv. Det er denne kommentar i artiklen jeg IKKE helt forstår:

CITAT

Annonceindustrien på nettet, som kan blive hårdt ramt, hvis mange slår Do Not Track til, har også truet med at ignorere indstillingen helt, hvis Microsoft slår det til som standard.

CITAT SLUT

Hvorledes har de tænkt sig at gøre dette?

Er det virkelig teknisk muligt at ignorere sikkerhedsindstillinger for f.eks. 3. part cookies? For så er enhver tale om sikkerhed da helt hen i vejret !!!

14
17. september 2012 kl. 09:18

Problemet er at det ikke er en lokal sikkerhedsindstilling. Do Not Track er ikke andet end en header som browseren sender ved requests til serveren. Dvs. at DNT ikke er andet end en pæn forespørgsel til serveren om ikke at sende noget slemt den anden vej.

Her er den GET request som min browser sender til version 2 når jeg loader siden:

GET http://www.version2.dk/ HTTP/1.1 ... User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0) ... DNT: 1 ...

For at Do Not Track skal virke skal version2s website aktivt tjekke om DNT er sat til 1 og så ikke sætte nogen cookies eller andet sjov. Problemet er at Apache nu i standard konfigurationsfilen sorterer headeren fra, så når version2 i deres php script så tjekker om headeren DNT er sat, så vil scriptet altid returnere false da serveren filtrerer headeren fra inden den når til php scriptet.

SÅ ja, det er teknisk muligt, fordi DNT ikke har noget med client-side at gøre og ikke bestemmer noget over server-side.

11
16. september 2012 kl. 23:04

Vil en Apache server afvise private sikkerhedsinstillinger vdr. Do Not Track-funktionen i alle browsere som understøtter dette: IE, Firefox, m.fl.? ...eller er det 'kun' i forb.m. installation af IE 10 der nævnes i artiklen? Nu er jeg lidt forvirret omkring hvad der egentlig menes med; "ignorere indstillingen " som nævnt i artiklen og er ikke så stærk i internetserver applikationer (Apache, IIS, osv.), så er der nogen eksperter som kan lede mig på rette spor?

8
16. september 2012 kl. 21:03

Hmm.. I min optik er det hverken browser, program, operativsystem eller server, som skal 'bestemme' indstillingerne for MIN sikkerhedspolitik i fbm. Internetsurfing. Det vil jeg da absolut selv helst bestemme. 8-)

10
16. september 2012 kl. 22:53

38394 -> Tjaeh... så må jeg jo affinde mig med det ..eller vælge et andet produkt. ;-)

6
15. september 2012 kl. 08:56

Meget af dette er blår for folket. Dette uanset hvilken browser der bruges.

5
14. september 2012 kl. 15:34

"Du har valgt at slå DNT til. Da du derfor ingen værdi har for vores annoncer, kan vi ikke give dig gratis adgang til vores sideindhold, og du bedes tegne et abonnement i stedet"

4
14. september 2012 kl. 11:56

Det er da en fjollet idé at lade det være op til serveren at beslutte, om den vil respektere ens ønske om privatliv.

Hvis Microsoft ville gøre noget for deres brugeres privatliv, skulle de hellere tilføje funktionalitet i stil med Ghostery til IE.

3
14. september 2012 kl. 10:28

Hvis ikke industriens aktører kan finde ud af at regulere det her spørgsmål i henhold til en frivillig kodeks, må lovgiverne træde til. Alt andet er utilstedeligt.

1
14. september 2012 kl. 08:53

eller naivt forsøg på at score "sikkerhedspoint"?

2
14. september 2012 kl. 09:16

Der er ingen tvivl om at det er bevist sabotage. Hvis man hopper ind på github så ligger den her ændring under overskriften "Apache does not tolerate deliberate abuse of open standards" med en længere diskussion i kommentarerne.

Det er måske lige værd at nævne at IE også har "Tracking Protection" som dog desværre ikke er slået til som standard. Her blokerer den automatisk indhold baseret på hvor mange sider indholdet er set på, eller specifikke blacklists. Til dem der er interesseret, så er her et screenshot af hvordan det ser ud når man vælger om DNT skal være slået til eller slået fra. http://www.computerworld.com/common/images/site/features/2012/08/Express_Settings_Win8RTM.jpg

Jeg synes ikke man kan sige at Microsoft slår DNT til som standard. Derimod har man som bruger mulighed for enten at sige ja til den her liste af indstillinger eller vælge specifikke indstillinger for hvert punkt. DNT bliver ikke skjult eller stoppet ned i halsen på nogen som helst, så den her Apache patch er ikke andet end et internt opgør.