Блог

«Средняя безопасность» в IE8 указывает, что third-party cookies that save information that can be used to contact you without your explicit consent они заблокированы.

Какой самый широкий заголовок P3P означает, что мы не собираем такую информацию и не будем заблокированы IE?

Я хочу пропустить неприятные детали политики P3P и просто установить заголовок, который подразумевает наименьшие юридические обязательства. Его семантика должна быть:

 we collect everything except information that can be used to contact you.
  

… без указания чего-либо еще.

Обратите внимание, что большинство заголовков P3P являются всеобъемлющими — если они отсутствуют, вам не разрешается использовать информацию для этой цели — поэтому заголовок P3P, который я ищу, должен содержать много флагов.

«Я хочу пропустить неприятные детали политики P3P»

P3P HTTP-заголовок можно установить без допустимых атрибутов политики конфиденциальности compact.

Facebook делает это. Вот P3P HTTP заголовок из facebook.com:

 P3P: CP="Facebook does not have a P3P policy. Learn why here: http://​fb.me/p3p"
  

Google тоже это делает:

 p3p: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=enamp;answer=151657 for more info."
  

Это принимается Internet Explorer. Например, «высокий» параметр конфиденциальности IE блокирует все файлы cookie с веб-сайтов, у которых нет компактной политики конфиденциальности, но файлы cookie, сопровождаемые правилами P3P, не подобными приведенным выше, не блокируются.

Если вы внедряете такую политику, не связанную с политикой P3P, обязательно включите естественный язык, объясняющий, что это не настоящая политика P3P, избегайте использования слов, которые являются действительными токенами P3P, а также ссылайтесь на URL более длинного объяснения или на реальную политику конфиденциальности вашего сайта.

ОБНОВЛЕНИЕ: В 2012 году Microsoft обвинила Google в обходе настроек конфиденциальности пользователей из-за этой практики, и они добавили параметр «строгая проверка P3P» в IE 10 и 11. При включении он отклоняет файлы cookie, которые сопровождаются политиками P3P, содержащими неопределенные токены. Я полагаю, что этот параметр был отключен по умолчанию.

Microsoft наконец отказалась от P3P начиная с Windows 10. Итак, для Edge (и IE 11 в Windows 10) политика P3P не имеет отношения к принятию файлов cookie.

Вы можете проверить User-Agent заголовок запроса, чтобы установить P3P заголовок только для затронутых версий IE.

Согласно моим тестам, любой из этих атрибутов P3P не позволит IE8 сохранить сторонний файл cookie:

CON, TEL, PHY, ONL, FIN, GOV

CON

Информация может быть использована для связи с конкретным человеком по каналу связи, отличному от голосового телефона, для продвижения продукта или услуги. Это включает в себя уведомление посетителей об обновлениях веб-сайта.

ТЕЛ

Информация может быть использована для связи с пользователем посредством голосового телефонного звонка для продвижения продукта или услуги.

PHY

Информация, которая позволяет связаться с пользователем или определить его местонахождение в физическом мире — например, номер телефона или адрес.

ONL

Информация, которая позволяет связаться с пользователем или найти его в Интернете — например, электронная почта. Часто эта информация не зависит от конкретного компьютера, используемого для доступа к сети. (Смотрите категорию COM)

FIN

Информация о финансах пользователя, включая состояние счета и информацию о действиях, такую как баланс счета, история платежей или овердрафтов, а также информация о покупке или использовании финансовых инструментов физическим лицом, включая информацию о кредитной или дебетовой карте.

Поэтому не включайте их, если хотите, чтобы IE8 не блокировал вас. Я обнаружил, что следующие флаги являются наиболее широкими с юридической точки зрения, но при этом все еще хорошо функционируют с IE:

В НАСТОЯЩЕЕ ВРЕМЯ нет ЗАКОНА О DSP ДЛЯ ADM DEV TAI PSA PSD, ЕГО НАШЕ ДЕЛО В UNI, В COM NAV INT DEM CNT STA POL HEA PRE LOC IVD SAM IVA OTC

Авторитетный список находится в MSDN . Найдите на этой странице Unsatisfactory Cookie Tags .