Je samozrejme chvalyhodne a pro laicke nic nechapajici uzivatele i vcelku uzitecne, ze se o jejich bezpecnost pokousi starat samotny prohlizec (i kdyz je zrejme, ze se bude jednat o kontrolu vice-mene formalni, jejimz podminkam dokaze vyhovet v podstate uplne kazdy, kdo bude chtit), nicmene, me je daleko sympatictejsi system, ktery provozuje Mozilla (pri vhodnem nastaveni) - ta se me, pokud prichazi cookie ze serveru, odkud jeste nikdy zadna neprisla zepta, zda ma cookie z tohoto serveru nadale prijimat ci odmitat - a jsem to ja, kdo rozhodne. Troufam si tvrdit, ze moje rozhodnuti je v tom nejhorsim pripade stejne kvalifikovane jako rozhodnuti algoritmu v MSIE a v nekterych pripadech je i podstatne kvalitnejsi ...
Myslim, ze MSIE pouzivat nezacnu (a to nejen proto, ze pro FreeBSD neni k dispozici ...)
Opravdu tak muj prispevek vyzniva? Ja jsem uvadel, ze je dulezite nastavovat hlavicku HTTP pri nastavovani cookie. A kde si lze prohlednout fungujici implementaci, aby ostatni videli, jak muzou nastavovat tuto hodnotu. Ale pisete, ze podle W3C standardu neni implementace na I LIKE Q uplna (resme technologicke hledisko). Mohl byste byt konkretni, pokusim se chybu napravit? Dle draftu (cituji)
Servers may publish their policy reference files at a well-known location, or they may reference their P3P policy reference files in HTML content using a link tag. Alternatively, compatible servers may be configured to insert a P3P extension header into all HTTP responses that indicates the location of a site's P3P policy reference file.
Neni tedy povinne implementovat VSECHNY moznosti - vubec ne nutne, protoze browser MUSI umet se vyporadat se vsemi. U tagovani vidim spise prilezitost jak jednoduse zajistit granularitu P3P politiky. Napr. pro formulare apod.
Podobne dokument http://www.w3.org/TR/p3pdeployment#Deployment o nijake takove povinnosti nemluvi. Ale mozna, ze mate namysli neco jineho, nebo jsem neco prehledl ?
Diky za doporuceni, ja mam p3p nastaveno na nekolika serverech vcetne odpovidajicich http headeru spravne. Jen jsem reagoval na Vas prispevek, kde davate www.ilikeq.cz za vzor spravne implementace, pricemz podle w3c neni uplna...
Doporucuju si precist informace na www.w3c.org/p3p specifikaci a jak implementovat P3P.
Strucne a neformalne: Existuji 3 zpusoby jak informovat prohlizec o P3P na serveru. I LIKE Q implementuje doporuceni tykajici se "well known" mista, kde je umistena reference na policy file. To lze verifikovat bud v prohlizeci - View | Privacy Report, kde uzivatel vidi jake informace jsou sbirany atd. & nebo pomoci P3P validatoru (vhodne pri testovani deploymentu). Bezpecnostni nebo lepe "privacy" politika MSIE navic vyzaduje, aby cookie byly take oznaceny znackami - k cemu se vzhledem k P3P pouzivaji. To se uvadi v HTTP hlavicce odpovedi, ktera nastavuje tuto cookie. To lze overit napriklad tak, ze nastavite privacy level na 2 nejvyssi uroven a uvidite, ze MSIE 6.0 cookie z I LIKE Q prijme, kdezto u P3P noncompliant serveru nikoliv. Poznamka: cookie se nastavuje az po prihlaseni => musite se prihlasit k elektronicke penezence.
Netvrdim, ze implementace P3P na I LIKE Q je uplna - take ostra verze MSIE 6.0 (zatim P3P bug free) existuje par dni. Naopak, aby mel P3P smysl mel by se zabudovat do logiky celeho systemu a nejen ho pouze formalne implementovat - jinak nema pro uzivatele zadny smysl.
Presne tak, pro spravne fungovani cookie je treba nastavit compact policy do hlavicky pri nastaveni cookie (vhodne volit s NOI priznakem) - muzete se podivat na www.ilikeq.cz a podivat se jak vypada prihlasovaci cookie. A potom Vam v defaultnim nastaveni IE budou chodit i jako 3rd party cookie. Neni to nic tezkeho.
S tema cookiema to MS prehnal, mohl pockat, protoze zrovna v poslednich 2 Betach to mel implementovano chybne. Jinak je to dobry pocin a nas system se bude snazit ho maximalne vyuzit, protoze bezpeci a soukromi uzivatelu je dulezita vec. Take to znamena (do budoucnosti), ze vsechny servery zapojene aplikacne do naseho systemu musi byt take P3P compliant.
Proboha ja nikdy nerikal ze musis jeden a ten samej fajl duplikovat pro kazdou domenu. Kde to pisu? Pokud si to proctes poradne, tak kazdej host musi budto:
mit privacy na host/w3c/p3p.xml (preferovana metoda) ktera sama o sobe muze jen a pouze odkazovat nekam jinam, v nasem pripade na www.billboard.cz/w3c/p3p.xml anebo
musi posilat uri ty policy v HTTP headeru.
Billboardi servery sice posilaji predulezity header X-Powered-By: PHP/4.0.4pl1 zato na P3P totalne kaslou a proto jejich kuki sou blokovany i presto ze hlavni web ma P3P policy.
Americky programatore, precti si poradne cely dokument o p3p a poznas, ze odpoved na tvoje otazky zni "Ano, MSIE muze klidne tahat jedno privacy policy jak pro www.billboard.cz, tak pro cokoliv.billboard.cz, dokonce i pro jerryiii.billboard.cz". Protoze v momente, kdy budes mit dvacet serveru typu ad1.domena.cz, ad2.domena.cz, atd., ktere slouzi pro jeden a tentyz ucel (treba prave pro obsluhovani vymeny banneru), tak je zahrnes do jedne privacy policy a nemusis mit duplicitni dokumenty pro kazdy fajl.
Jinak jeste poznamka - zatim jsem nenarazil na jediny reklamni system, kteremu by se cookies neblokovaly. Doubleclick, Engage, Burstmedia (a jini), tem vsem to MSIE cookies nebere.
A nebude to tim ze treba na Lupu se ty cookies neposilaji z www.billboard.cz ale z bbarbo.billboard.cz coz je jiny host nez www.billboard.cz? To ma IE hadat ze vsechno pod billboard.cz ma privacy policy na www.billboard.cz? Jako treba vsechno pod mujweb.cz by melo stejnou policy jako www.mujweb.cz (kdyby nejakou meli)? A co to rovnou udelat tak ze vsechno pod .cz ma stejnou :)
...pricemz treba billboard.cz privacy policy ma (viz http://www.billboard.cz/w3c/p3p.xml), nicmene cookies na jinych sajtech nez pod domenou billboard.cz (tj. na sajtech, ktere pouzivaji tento vymenny system) stejne msie 6.0 blokuje.
Presne tak, Lupa.cz samotna nemusi mit vubec nic, protoze jeji cookies sou posilany na jejich strankach. Zatimco treba navrcholu nebo billboard se musej starat, protoze jejich cookies sou pouzivany na cizich strankach.
Nastavit p3p pro svuj jeden sajt je celkem jednoduche, ale nastavit vsechno tak, aby na mem sajtu chodily treba i "rotatory" externich sluzeb, to uz neni takova sranda. Konec koncu, staci se podivat v msie 6.0 na www.lupa.cz, ze.
Přečtěte se informace pro vývojáře, které MS k IE6 připojil (je na ně odkaz pod článkem). Je tam přesně uvedeno, jak musí být P3P nastaveno, aby byla cookie přijata (pro každé nastavení bezpečnosti zvlášť).
V tomhle případě si opravdu myslím, že jde ze strany MS o dobrý nápad. A říkejte si, co chcete o baštění PR informací.
Tak bohuzel umisteni souboru p3p.xml k povoleni cookies nestaci... Jeste jsem nenarazil na sajt, u ktereho by cookies byly povoleny (pokud tam jsou). Vzdy jsou defaultne zablokovany, prestoze maji policy na spravnem miste.
Fakt je, ze se Martin korektne zeptal na to jestli me muze zminit, ale netusil ze k mymu jmenu prida Americky programator ;) Sice pracuji ve statech a dokonce i jako programator, ale porad se povazuju za cecha (i kdyz se podle mych znamych chovam jako kdybych tu vyrustal. A diky kvalite americkych programatoru se velice kvalitne uzivim ;)
Abych pridal neco k clanku, myslim si ze IE6 byl v beta verzich dostupny dost dlouho na to, aby firmy co pouzivaji third-party cookies (jako prave reklamni firmy a treba TopList) napsaly P3P policy - zas tak slozity to neni. Nemluve o tom, ze pravni hodnota veci tam uvedenych bude v soucasne dobe asi nulova. Navic pokud firmy nesbiraji data ktera umoznuji fyzicky identifikovat uzivatele (tj. jejich jmenem, adresou, tel. cislem a pod.) tak zas o moc nejde, jak narocny muze byt napsat XML dokument ktery popisuje ze sbiram referery ... A IE6 by byl spokojen a cookies by povoloval ...
BTW zkuste si v prispevku napsat </i> bez oteviraciho tagu ... cervena me dost prekvapila ;)
ČLÁNKY DO MAILU