Google umging auch die Cookie-Einstellungen des Internet Explorer

Google nutzt nach einer Microsoft-Analyse eine Schwachstelle der P3P-Spezifikation aus. Aber auch Sites wie Facebook nutzen den gleichen Trick.

In Pocket speichern vorlesen Druckansicht 380 Kommentare lesen
Lesezeit: 3 Min.
Von

Nachdem bekannt wurde, dass Google und weitere Werbevermarkter die Sperre von Drittanbieter-Cookies im Webbrowser Safari unterliefen, hat sich das Entwicklerteam des Internet Explorer gefragt, ob Google möglicherweise auch die Cookie-Einstellungen von Microsofts Browser umgehen. Und sie fanden heraus, dass das tatsächlich der Fall ist, wie sie im IEBlog dokumentieren: Google wendet ähnliche Techniken beim Internet Explorer an. Dort unterläuft sie den auf P3P aufsetzenden Privatsphäre-Schutz.

P3P, kurz für Platform for Privacy Preferences Project, ist ein offener Standard des W3C. Es soll sowohl dem Nutzer als auch Programmen helfen, zu erkennen, was auf einer Site mit personenbezogenen Daten passiert. Die Cookie-Verwaltung des Internet Explorer blockiert Drittanbieter-Cookies von Sites, die kein sogenanntes P3P Policy Statement übermittelt, das den Browser über die Verwendung von Cookies informiert.

Google nutzt nach der Microsoft-Analyse eine Schwachstelle der P3P-Spezifikation aus. So besagt diese, dass Browser undefinierte Policies ignorieren sollen. Und genau eine solche undefinierte Spezifikation liefert Google aus:

P3P: CP="This is not a P3P policy!
See http://www.google.com/support/accounts/bin/answer.py?
hl=en&answer=151657 for more info."

Der menschlichen Benutzer kann das zwar lesen und etwas damit anfangen. Für Browser, die sich an die P3P-Spezifikation halten, bedeutet das aber nach Microsoft, dass das Cookie nicht für Tracking-Zwecke verwendet wird. Der Internet Explorer lässt Google-Cookies daher zu.

Microsoft empfiehlt seinen Benutzern, eine Tracking-Schutzliste herunterzuladen, mit der der Internet Explorer daran gehindert werden kann, Cookies an Google zu übertragen. Sie ist im Blog-Posting verlinkt, man kann sie mit einem Mausklick aus dem Internet Explorer heraus installieren. Microsoft will darüber hinaus überprüfen, wie es die Cookie-Behandlung des Internet Explorer sicherer macht. Eine Möglichkeit wäre, Cookies mit undefinierter P3P-Policy grundsätzlich zu blockieren, auch wenn das nicht den P3P-Spezifikationen entsprechen würde.

Nach einer Studie (PDF) der Carnegie Mellon University aus dem Jahr 2010 benutzen 11.176 von 33.139 untersuchten Sites eine ungültige P3P-Spezifikation. Google hat mittlerweile auf das Blog-Post reagiert. In einer E-Mail an das amerikanische Magazin The Verge bezeichnet Google die Technik, die der Internet Explorer verwendet, als veraltet und nicht praxistauglich.

Update: Google ist keineswegs die einzige große Site, die diese Lücke einsetzte, um den Internet Explorer auszutricksen. So liefert etwa Konkurrent (und Microsoft-Partner) Facebook aktuell folgende P3P-Policy aus,

P3P: CP="Facebook does not have a P3P policy. 
Learn why here: http://fb.me/p3p"

die exakt den gleichen Effekt hat, aber keine Erwähnung im IEBlog findet. Außerdem hat Microsoft die prinzipielle Vorgehensweise sogar selbst in einem Support-Dokument vorgeschlagen. Bei Problemen mit Cookies in Frames aus verschiedenen Domains könne man beispielweise eine einfache Policy wie

P3P: CP="CAO PSA OUR"

setzen, heißt es da. Eine Aufforderung, diese Policy der eigenen Datenschutz-Praxis anzupassen, findet sich dort nicht. (jo)