什么是P3P?
P3P是万维网联盟(W3C)公布的一项隐私保护推荐标准,旨在为网上冲浪的Internet用户提供隐私保护。现在有越来越多的网站在消费者访问时,都会收集一些用户信息。制定P3P标准的出发点就是为了减轻消费者因网站收集个人信息所引发的对于隐私权可能受到侵犯的忧虑。P3P标准的构想是:Web 站点的隐私策略应该告之访问者该站点所收集的信息类型、信息将提供给哪些人、信息将被保留多少时间及其使用信息的方式,如站点应做诸如 “本网站将监测您所访问的页面以提高站点的使用率”或“本网站将尽可能为您提供更合适的广告”等申明。访问支持P3P网站的用户有权查看站点隐私报告,然后决定是否接受cookie或是否使用该网站。
以上我们简要地谈了一下什么是P3P,有兴趣的读者不妨点击以下连接,访问官方P3P网页以获取更多技术信息: http://www.w3.org/P3P;读者可在该网页中找到P3P的常见问答P3P FAQ以及P3P策略标准的技术规范technical specifications。
您一定听说过cookie,cookie 是由 Web 站点创建的小文本文件,存储在您的计算机上。这样,当您下一次访问该站点时,它可以自动获取有关您的信息,例如浏览喜好,或您的姓名、地址及电话号码。过去一般认为绝大多数Internet用户能够接受cookie,毕竟,只有那些患有妄想狂的人才会因恐惧而拒绝cookie,不是吗?然而,这种假设在过去或许能够成立,而现在则未必。
如今,我们再也不能假设绝大多数用户愿意接受任何类型的cookie,并接受网站对它们的任意使用了。支持P3P的浏览器,例如IE 6.0,其中一项功能就是依据用户的安全设置,拒绝cookie或给用户发出安全警告。如果您机器上装有IE 6,不妨现在就花一点时间来看一下P3P设置:在“工具”菜单下选择“Internet选项”。点击“隐私”标签,您会发现设置的隐私等级。IE 6的缺省隐私等级设置为“中”——即“阻止没有合同隐私策略的第三方cookie;阻止使用个人可标识信息而没有您的隐含许可的第三方cookie;限制使用个人可标识信息而没有隐含许可的第一方cookie”。见下图:
上面提到的第一方指当前正在查看的 Web 站点,而第三方就是当前正在查看的站点以外的 Web 站点。第三方 Web 站点通常会为当前所查看的 Web 站点提供一些内容。例如,许多站点使用第三方 Web 站点的广告,而这些第三方 Web 站点可能使用了 cookie。
举例来说,这篇编译文章原文出自www.4guysfromrolla.com。当我访问www.4guysfromrolla.com时,该站点即为第一方Web站点;在它的页面上我们可以看到mjxads.internet.com做的广告,这个mjxads.internet.com就是第三方Web站点;虽然mjxads.internet.com站点使用了大量的cookie,但它们对我不起作用,因为我的IE 6浏览器(使用缺省隐私设置——“中”)已经阻挡了所有来自第三方的cookie。此时我们可以通过查看得到如下隐私报告:
还没有危机感吗?
上面我们谈到了P3P对于用户隐私的保护,接下来我们再来看一下P3P对于Web开发者的影响。
让我们来做这样一个假设:想象您为一家网站工作,而您的职责是必须维护大量由cookie驱动的网上商店。现在IE 6 来了,突然,您网站的访问者在所有您的网上商店购物都出现问题。如果购物店的设计是将所有的购物者导向同一个域,而该域基于从第一方站点传递来的会话参数决定商品显示目录的话,就会出现这类麻烦。这是因为会话参数是一个cookie,当购物店广告连接出现在不同的域作为第三方cookie时,所有的cookie都被IE 6阻挡了。
毫无疑问,这必然引起消费者的不满和困惑。而且很有可能,您的老板和经理也一样对您大为不满。要解决这个问题可难可易,简单地,您可以设置P3P隐私策略;或者您也可以重写整个应用系统,在新系统中不再使用第三方cookie——当然这就不那么简单了。
设置P3P策略
如果您打算设置P3P策略,那就说明您已经对P3P比以往有了更多的认识,而且已经充分估计到了隐私问题可能对您造成的潜在影响,尤其是在您使用第三方或第一方cookie,而您的用户使用IE 6的情况下。
W3C提供http://www.w3.org/P3P/details.html网页,可以帮助您通过“6个简单步骤”在您的网站上实施P3P策略。如果您再多花一点时间研究一下的话会发现,所谓P3P策略实际就是一个部署在Web服务器上的简单XML文件,指明网站打算使用哪些cookie以及派什么用途。如果您不懂XML也没关系,通过下面这个连接http://www.w3.org/P3P/details.html您可以找到一些P3P策略生成器软件包。(虽然如果在Google上搜索,您会发现更多搜索结果,但提供免费使用的好象只有IBM的P3P策略编辑器IBM's P3P Policy Editor。)
更多资源
有关P3P的有用资源还有不少。如前所述,本文的目的并非讨论P3P技术细节,而仅在于介绍P3P标准,并提请Web开发者注意使用支持或兼容P3P浏览器(如IE 6)的用户可能会遇到的一些潜在问题。
·P3PToolbox.org——提供大量P3P资源的大型独立站点。
·Introduction to P3P——O'Reilly的书《Web Privacy with P3P》的免费示例章节。(该示例章节为PDF文件)
·The Official P3P Web Page——W3C的P3P网页,提供大量于该标准相关的技术信息,值得一读。
·A P3P Primer——该文章探讨什么是P3P,并示范如何创建一些简单的P3P策略文件。
1365
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
