SORU
23 Aralık 2008, Salı


Kurabiye/Internet Explorer İFRAME kayıtlı değil engellendi

İki web sitesi, example.com diyorlar anotherexample.netizin var. anotherexample.net/page.html IFRAME SRC="http://example.com/someform.asp" bir ben var. Bu İFRAME kullanıcı için bir form doldurmanız ve http://example.com/process.asp boyun görüntüler. Formu açtığımda ("someform.asp") kendi tarayıcı penceresinde, her şey iyi çalışıyor. Ancakben IE 6'da bir İFRAME olarak someform.asp yük veya 7, example.com için çerez YANİ ne zaman kaydedilmez.Firefox bu sorunu görünmüyor.

Test amaçları için http://newmoon.wz.cz/test/page.php benzer bir kurulum yaptım .

example.com çerezler process.asp yürütme olmayacak olmadan çerez tabanlı oturumlar (ve bu konuda yapabileceğim bir şey yok) kullanır.Nasıl bu kurabiyeler kurtarmak için YANİ zorla mı?

HTTP trafiğini koklama sonuçları: /someform.asp yanıt, oturum başına Set-Cookie başlık geçerli (örneğin Set-Cookie: ASPKSJIUIUGF=JKHJUHVGFYTTYFY), ama POST /süreci var.asp isteği, hiçbir Çerez Başlığı var.

Edit3: bazı AJAX sunucu taraflı betik görünüşe göre sorun kaçınmak için yeteneğine sahiptir, ama o daha çok bir böcek gibi görünüyor, security holes yepyeni bir dizi açılır artı. Benim uygulamalar kolay diye hata güvenlik deliği bir arada kullanmak istemiyorum.

Düzenleme:P3P ilkesi kök neden olduaşağıda tam açıklama.

CEVAP
23 Aralık 2008, Salı


Çalışma var, ama çözüm biraz karmaşık, sabırlı ol.

Neler oluyor

Internet Explorer (bu "üçüncü taraf" içerik). YANİ aramalar İFRAME sayfalara güven alt seviye verir gibi Eğer sayfa içinde İFRAME yok Gizlilik Politikası, kurabiyeler bloke (belirttiği göz simgesi durum çubuğu, tıkladığınızda, gösterir bir liste engellenen URL).

the evil eye

Çerezler engellenir, oturum tanımlayıcısı gönderilir ve hedef komut dosyasını oluşturduğunda, bu durumda, bir 'oturum' hata değil.

(Tanımlayıcı forma oturum ayarı ve POST değişkenleri yükleniyor denedim.Bu işe yarardıama siyasi nedenlerden dolayı bunu yapamadım.)

Olası İFRAME içindeki sayfa daha güvenilir yapmak için:eğer iç sayfa IE için kabul edilebilir bir gizlilik politikası ile P3P bir başlık gönderir, çerezleri kabul edilecektir.

Nasıl çözmek için

P3p ilkesi oluşturur

İyi bir başlangıç noktası W3C tutorial. Bunu, IBM Privacy Policy Editor indirdim ve orada Gizlilik Politikası sunumunu yarattım ve bu başvuru için bir ad verdi (policy1).

NOT: bu noktada, gerçekten ihtiyacınız bulmak eğer sitenizde bir gizlilik politikası, ve değilse, oluşturmak ister topladığı kullanıcı verileri, ne tür bir veri, ne ile, kimler girebilir, vb. Bu bilgileri bulmak gerekirdüşünüyorumbu konuda.Aynen birlikte birkaç etiketleri tatmin etmeyecektir.Bu adım tamamen yazılım yapılması, ve son derece politik olabilir ("click istatistikleri satmalı mıyız?"). ör:

("site ACME Ltd. tarafından işletilmektedir, örneğin kullandığı anonim oturum tanımlayıcıları operasyon, toplar, kullanıcı verilerini sadece açıkça izin verilmiş ve sadece aşağıdaki amaçlar, veri saklanır sadece gerektiği kadar, sadece Firmamız erişmeye, vb. vb.").

Bu aracı ile düzenleme yaparken, Olası politika hataları/eksiklikler görebilirsiniz. Ayrıca çok kullanışlıdır sekmesini "HTML Politika": alt kısmında, bir "Politika Değerlendirme" - ilke IE varsayılan ayarları tarafından engellenmiş olacak Eğer hızlı bir kontrol edin)

Editör bir ihracat .yukarıdaki politikasının bir XML gösterimi olan p3p dosya. Ayrıca, "" bu politika. kompakt sürüm verebilirsiniz

İlke bağlantı

Başvuru dosyası (http://example.com/w3c/p3p.xml) ihtiyaç vardı İlkesi (site kullanır gizlilik politikaları dizin):

<META>
  <POLICY-REFERENCES>
    <POLICY-REF about="/w3c/example-com.p3p#policy1">
      <INCLUDE>/</INCLUDE>
      <COOKIE-INCLUDE/>
    </POLICY-REF>
  </POLICY-REFERENCES>
</META>

<INCLUDE> Bu ilke (benim durumumda, Tüm site) kullanacağı tüm URI gösterir. Editör ihraç ettik ilke dosyası http://example.com/w3c/example-com.p3p aktarıldı

Yanıtları ile kompakt başlığını gönderirler

Example.com at Web sunucusu bu gibi tepkiler ile kompakt başlık göndermek için kurdum:

HTTP/1.1 200 OK 
P3P: policyref="/w3c/p3p.xml", CP="IDC DSP COR IVAi IVDi OUR TST"
// ... other headers and content

policyref Başvuru dosyası açmak Gizlilik İlkeleri referanslar) CP kompakt politika temsil Politika göreli URI.Örnekte P3P başlıkları kombinasyonu belirli web sitenizde geçerli olmayabilir; P3P başlıklar aslında kendi gizlilik politikası temsil etmesi GEREKTİĞİNİ unutmayın!

Kar!

Bu yapılandırmada, nazar görünmüyor, çerezleri bile İFRAME kaydedilir ve uygulama çalışmaları.

Dava savunmak gibi sürece yapmak DEĞİL . Edit:

Birçok kişinin öne sürdüğü nazar değebilir kadar P3P Başlığı içine "sadece tokat bazı etiketleri".

Etiketler bitlerin sadece bir grup değil, onlar vargerçek dünya anlamlarıkullanımları verirgerçek dünya sorumlulukları!

Örneğin, hiç bir kullanıcı veri toplamak gibi tarayıcı mutlu olabilir, ama eğer gerçekten kullanıcı veri toplamak, P3P gerçekliği ile uyuşmuyor. Düz ve basitkasıtlı olarak kullanıcılara yalan söylüyorsunbazı ülkelerde suç davranışı olabilir. , "Hapse git, 200 dolar alma değil". gibi

Birkaç örnek (see p3pwriter for the full set of tags):

  • NOİ: "Web Site tanımlanan veri toplanmış değildir." (herhangi bir özelleştirme var en kısa sürede bir giriş veya veri aktarımı (**** * Analytics, herkes?), sanagerekirsenin P3P) kabul
  • STP: Bilgi belirtilen amacı karşılamak için korunur. Bu Bilgi en erken zaman mümkün atılacak gerektirir. Siteleri yıkım zaman bir masa kurar tutma politikası OLMALIDIR. Bekletme ilkesi dahil veya sitenin okunabilir Gizlilik Politikası ile bağlantılı olması GEREKİR." (eğer öyleyse STP gönderirseniz ama bekletme ilkesi, yokolabilirsahtekarlığı. Ne kadar soğuk olduğunu? Hiç de değil.)

Avukat değilim ama mahkeme için P3P başlık olup olmadığını görmek için gitmek için istekli değilimgerçekteneğer kullanıcılarınız aslında sözünde onurlandırmak için istekli olmadan hiçbir şey için söz eğer yasal olarak bağlayıcı ya.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Howcast

    Howcast

    4 EKİM 2007
  • Kevin Bruckert

    Kevin Brucke

    30 Aralık 2006
  • MrOctopi

    MrOctopi

    6 Aralık 2010