fefe's soup

Der Kalte Krieg zwischen den Internet-Riesen geht in die nächste Runde. Im Kern geht es um 3rd party cookies. Nehmen wir mal an, man klickt auf heise.de herum und da ist ein Werbeframe oder ein +1-Button, und der setzt einen Cookie. Bei Firefox muss man das extra einschalten, dass die geblockt werden (habt ihr hoffentlich alle getan!), bei Safari ist das standardmäßig eingeschaltet — aber lässt sich trivial umgehen und Google tut das natürlich auch, und jetzt kommt Microsofts IE-Team aus ihrer Höhle im Hindukusch hervorgekrochen und rockt die Welt mit einer geradezu bombastisch peinlichen Geschichte.

Wir sind immer noch bei den 3rd party cookies. In IE kann man auch sagen, dass man keine 3rd party cookies will. Aber es stellt sich heraus, dass IE die trotzdem speichert, wenn der Cookie-Setzer eine P3P-Policy mitschickt. Das ist eine der hirntotesten Ideen aller Zeiten. Die IE-Leute haben ein Beispiel von www.microsoft.com:

P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

Völlig offensichtlich: das ist voll für den Fuß, geht gar nicht, der Erfinder gehört an die nächste russische Marssonde genagelt. Aber das ist noch nicht der Lacher. Der Lacher ist: Google schickt einen fehlformatierten P3P-Header, nämlich diesen hier:

P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."

Und was tut IE damit? Was die Spec sagt. Die Spec sagt: wenn du ein Token nicht kennst, ignoriere es. Also ignoriert IE alle Tokens. Und ist damit in dem Zustand: es gibt ein P3P-Statement. Und lässt den 3rd party cookie durch.

Ein epic fail auf Seiten Microsofts in meinem Buch. Um so peinlicher, dass sie das jetzt als böses Herumgehacke durch die fiesen Privacy-Freibeuter bei Google darzustellen versuchen.