Mondo
Le misure utilizzate da Microsoft per proteggere la privacy degli utenti, note come ‘protocollo P3P’, sono incompatibili con le attuali caratteristiche del web. Lo ha affermato Google in risposta alle accuse del gigante di Redmond, secondo cui la società di Mountain View avrebbe spiato non solo gli utenti del browser Safari – come denunciato nei giorni scorsi dal Wall Street Journal – ma anche quelli di Internet Explorer.
“Abbiamo riscontrato che Google aggira le misure di protezione della privacy in IE”, con un risultato simile a quanto è successo con Safari, anche se ottenuto con un meccanismo diverso, ha affermato ieri su un blog Dean Hachamovitch, responsabile Internet Explorer.
Internet Explorer blocca i cookies di default a meno che un sito non presenti al browser una ‘auto-certificazione’ di conformità (P3P Compact Policy Statement) che descriva in che modo il sito utilizza i cookie e non si impegni a non tracciare le attività degli utenti.
Google, invece starebbe approfittando di una sfumatura tecnica nelle specifiche P3P per utilizzare una policy che non informa il browser sull’uso dei cookie e sulle informazioni degli utenti: si tratta, dice Hachamovitch, di una dichiarazione testuale indirizzata agli utenti e non di una policy P3P ‘leggibile’ da una macchina.
“I browser conformi alle specifiche P3P interpretano quindi le policy di Google come un’indicazione che i cookie non saranno usati a scopo di monitoraggio o per nessuno scopo”, ha affermato ancora Hachamovitch.
Rachel Whetstone, vicepresidente communications and policy di Google, ha risposto a queste accuse affermando che le policy di Microsoft sono “ampiamente non operative” in diversi casi, principalmente quando vi siano funzioni basate sui cookie, come ad esempio i bottoni ‘mi piace’ di Facebook o quando ci si deve iscrivere a un sito utilizzando l’account Google e in “altri centinaia di servizi web moderni”.
Google “è stata aperta nel suo approccio al P3P e così sono stati altri siti come Facebook, ma è cosa nota – avrebbe detto ancora – che non è pratico conformarsi alle richieste di Microsoft fornendo queste funzionalità web”.
I cookie usati da Google per proteggere e autenticare un account e per memorizzare le preferenze dell’utente possono essere notificati da un dominio diverso da quello che l’utente sta visitando, spiega Google sul suo sito di supporto.
“Il protocollo P3P non è stato concepito per situazioni come queste. Come conseguenza, abbiamo inserito un link nei nostri cookie che dirige gli utenti su una pagina da cui possono sapere di più circa le misure sulla privacy associate a questi cookies”, aggiunge la società, che cita tra l’altro una ricerca del Carnegie Mellon del 2010 secondo cui “oltre 11 mila siti web non usano policy P3P valide”.
La scorsa settimana, per difendersi dalle accuse di aver monitorato gli utenti Safari, la Whetstone aveva affermato che Google ha “utilizzato una funzionalità conosciuta di Safari per offrire agli utenti di Google loggati nel loro account funzioni da loro stessi abilitate” sottolineando che “questi cookie pubblicitari non raccolgono informazioni personali” (Leggi articolo Key4biz).
Il caso, però, è diventato politico e tre membri del Congresso hanno chiesto alla FTC di indagare per appurare se Google abbia violato l’accordo siglato lo scorso anno con il quale si era impegnata ad adottare un ampio e rigido programma per migliorare la tutela dei dati sensibili degli utenti (Leggi articolo Key4biz).
Google, ha sottolineato comunque Lorrie Faith Cranor, docente associato di Informatica e di Ingegneria e Politiche Pubbliche presso la Carnegie Mellon University, non è l’unico a ‘mentire’ sulla conformità alle policy P3P: Facebook e “centinaia di altri siti” non hanno una policy P3P e tutti si giustificano affermando che questa elusione è giustificata dal fatto che IE “interrompe le cose ‘cool’ che vogliono fare sul loro sito e perciò va bene eludere i controlli sulla privacy del browser”.
Cranor ha presieduto il gruppo di lavoro sul P3P e conosce bene le complessità del protocollo ma spiega che se all’industria non piace il P3P allora dovrebbe chiedere a Microsoft di eliminarlo o agli enti di standardizzazione di dichiararlo inefficace.
“Sospetto che nessuno lo abbia fatto per non mettere in discussione l’efficacia dell’autoregolamentazione sulla privacy”, ha affermato, aggiungendo di aver avvertito Microsoft nel 2010 sulle potenziali violazioni come quelle presunte di Google le quali, in ogni caso, non riguardano gli utenti che utilizzano la funzione ‘Tracking Protection’ di IE9.