Tras la revelación de que Google y otras compañías de marketing en línea han eludido el mecanismo de bloqueo de cookies de terceros en el explorador Safari, el equipo de desarrollo de Internet Explorer se cuestionó si Google podría estar haciendo lo mismo con su navegador, la investigación resultó reveladora.
Como detallan en su propio blog (IEBlog), han obtenido la respuesta a su pregunta: Google también evita las políticas para cookies de Internet Explorer al momento de omitir el mecanismo para la protección de privacidad del navegador basado en P3P.
P3P forma parte del Platform for Privacy Preferences Project (o el Proyecto Plataforma de Preferencias de Privacidad) y es un estándar abierto del tipo W3C. Su finalidad es ayudar tanto a los usuarios y a los programas a saber qué hacen los sitios con información personal. El sistema de administración de cookies en Internet Explorer bloquea cookies de sitios de terceros que no forman parte de la política de P3P.
De acuerdo al análisis de Microsoft, Google explota una vulnerabilidad de P3P, la cual estipula que los navegadores deben ignorar las políticas no definidas, que es exactamente lo que Google hace:
P3P: CP="This is not a P3P policy!
See http://www.google.com/support/accounts/bin/answer.py-
h1=en&answer=151657 for more info."
Esto puede ser leído y entendido por usuarios humanos, pero, de acuerdo a Microsoft, los navegadores que se ajustan a P3P interpretan que las cookies no serán utilizadas con propósitos de rastreo. Es por ello que Internet Explorer permite las cookies de Google.
Microsoft insta a todos sus usuarios a descargar una lista de protección de rastreo para evitar que las cookies se redirijan a Google. En el blog se encuentra un enlace a la lista, la cual puede ser instalada directamente en Internet Explorer con un simple clic. Además, Microsoft también planea un manejo seguro de las cookies, entre las cuales se considera bloquear sin excepción aquellas cookies que no cumplan con las políticas P3P.
De acuerdo con un
estudio de la Universidad Carnegie Mellon realizado en 2010, 11,176 de 33,139 sitios analizados utilizan especificaciones P3P no válidas. Google ha respondido a las acusaciones de Microsoft, y envío un
aviso a los medios en donde describe que el sistema utilizado por Internet Explorer es obsoleto y de un funcionamiento pésimo.
Google publicó en su blog un
artículo, en el que señala su posición al respecto de P3P. Además enfatiza los
comentarios de un investigador de seguridad: "En lugar de arreglar el fallo de P3P en Internet Explorar, que Amazon y Facebook explotaron, Microsoft no hizo nada y se queja de que Google lo utilice".
Facebook cuenta también con la misma
política P3P de Google, mientras que Amazon liberó una nueva
política P3P válida.