Microsofts privatlivs-forbedring i Internet Explorer 10 slår fejl

Når Internet Explorer 10 kommer på gaden, vil funktionen Do Not Track været slået til som standard. Men netop derfor vil verdens mest brugte webserver Apache ignorere indstillingen og dermed ødelægge hele konceptet.

Da Microsoft tidligere i år annoncerede, at brugerne af Windows 8 og standardbrowseren Internet Explorer 10 ville få beskyttet deres privatliv langt bedre end før, var ikke alle lige imponerede.

Microsoft har nemlig valgt at slå Do Not Track-funktionen til som standard, og dermed vil en stor del af verdens internetbrugere i praksis ende med at bevæge sig ud på nettet med Do Not Track slået til, uden at have taget stilling til det.

Det er faldet de store annonce-netværk på nettet for brystet, for meningen med Do Not Track er, at en webside skulle respektere et ønske om øget privatliv og holde sig fra at placere såkaldte tracking-cookies hos brugeren, altså cookies som gør det muligt at genkende en besøgende og servere målrettede reklamer.

Nu tager diskussionen om Microsofts valg en ny drejning. Apache, verdens mest brugte webserver, får nu en opdatering, så Do Not Track-indstillingen vil blive ignoreret hos alle besøgende med Internet Explorer 10. Det skriver Cnet.com.

Bag opdateringen står en af arkitekterne bag Do Not Track-standarden, Roy Fielding fra Adobe, som peger på, at Microsoft går imod aftalen bag Do Not Track. Her er det nemlig et krav, at brugeren selv vælger at spærre for tracking-cookies.

Og spørgsmålet er nu, hvordan det skal tolkes. Når en Windows 8-bruger fyrer op for styresystemet for første gang, er der mulighed for ’ekspres’-indstillinger, som vil slå Do Not Track til som standard. Men brugeren kan også selv vælge indstillinger undervejs.

Annonceindustrien på nettet, som kan blive hårdt ramt, hvis mange slår Do Not Track til, har også truet med at ignorere indstillingen helt, hvis Microsoft slår det til som standard.

Ligeledes har Mozilla, som var med til at opfinde Do Not Track-funktionen, været kritisk over for Microsofts valg om at slå funktionen til som standard.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Jacob Smedegård

Der er ingen tvivl om at det er bevist sabotage. Hvis man hopper ind på github så ligger den her ændring under overskriften "Apache does not tolerate deliberate abuse of open standards" med en længere diskussion i kommentarerne.

Det er måske lige værd at nævne at IE også har "Tracking Protection" som dog desværre ikke er slået til som standard. Her blokerer den automatisk indhold baseret på hvor mange sider indholdet er set på, eller specifikke blacklists. Til dem der er interesseret, så er her et screenshot af hvordan det ser ud når man vælger om DNT skal være slået til eller slået fra. http://www.computerworld.com/common/images/site/features/2012/08/Express...

Jeg synes ikke man kan sige at Microsoft slår DNT til som standard. Derimod har man som bruger mulighed for enten at sige ja til den her liste af indstillinger eller vælge specifikke indstillinger for hvert punkt. DNT bliver ikke skjult eller stoppet ned i halsen på nogen som helst, så den her Apache patch er ikke andet end et internt opgør.

  • 6
  • 2
#11 Henrik Mortensen

Vil en Apache server afvise private sikkerhedsinstillinger vdr. Do Not Track-funktionen i alle browsere som understøtter dette: IE, Firefox, m.fl.? ...eller er det 'kun' i forb.m. installation af IE 10 der nævnes i artiklen? Nu er jeg lidt forvirret omkring hvad der egentlig menes med; "ignorere indstillingen " som nævnt i artiklen og er ikke så stærk i internetserver applikationer (Apache, IIS, osv.), så er der nogen eksperter som kan lede mig på rette spor?

  • 0
  • 0
#13 Henrik Mortensen

For at præcisere min kommentar ang. IE 10 osv. Det er denne kommentar i artiklen jeg IKKE helt forstår:

CITAT

Annonceindustrien på nettet, som kan blive hårdt ramt, hvis mange slår Do Not Track til, har også truet med at ignorere indstillingen helt, hvis Microsoft slår det til som standard.

CITAT SLUT

Hvorledes har de tænkt sig at gøre dette?

Er det virkelig teknisk muligt at ignorere sikkerhedsindstillinger for f.eks. 3. part cookies? For så er enhver tale om sikkerhed da helt hen i vejret !!!

  • 0
  • 0
#14 Jacob Smedegård

Problemet er at det ikke er en lokal sikkerhedsindstilling. Do Not Track er ikke andet end en header som browseren sender ved requests til serveren. Dvs. at DNT ikke er andet end en pæn forespørgsel til serveren om ikke at sende noget slemt den anden vej.

Her er den GET request som min browser sender til version 2 når jeg loader siden:

GET http://www.version2.dk/ HTTP/1.1 ... User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0) ... DNT: 1 ...

For at Do Not Track skal virke skal version2s website aktivt tjekke om DNT er sat til 1 og så ikke sætte nogen cookies eller andet sjov. Problemet er at Apache nu i standard konfigurationsfilen sorterer headeren fra, så når version2 i deres php script så tjekker om headeren DNT er sat, så vil scriptet altid returnere false da serveren filtrerer headeren fra inden den når til php scriptet.

SÅ ja, det er teknisk muligt, fordi DNT ikke har noget med client-side at gøre og ikke bestemmer noget over server-side.

  • 0
  • 0
#16 Henrik Mortensen

Ps. ..bemærk, hvad der skrives rundt omkring i denne stund:

CITAT

..users will think they’re not being tracked since they explicitly changed a setting (seems like a reasonable assumption!) — but they may just be making a request that can be ignored. Talk about defeating the purpose.

CITAT SLUT

Kilde: http://allthingsd.com/20120913/google-finally-adds-do-not-track-support-...

Netop MIN pointe ;-)

  • 0
  • 0
Log ind eller Opret konto for at kommentere