Nicht absichtlich

Wie baut man aus Versehen Code, der Sicherheitslücken verwendet, um Sperren zu umgehen?

ich will jetzt auch Kekse!

Apple soll die Push-mails wieder aktivieren

, was natürlich ganz unabsichtlich wieder aktiviert wurde!
Ja, gute Idee!

Dirk!:

Weil der W3C P3P-Standard, der das vermeiden hülfe, von allen Browser-Hestellern leider nicht oder äußerst unzureichend umgesetzt worden ist und in Safari und Internet Explorer erst recht stümperhaft umgesetzt ist.
Und es nicht nur für Google in der realen Welt der täglichen Praxis nahezu unmöglich ist, eine funktionierende Lösung anzubieten mangels dieser allseits funktionierenden P3P-Lösung, sondern Google nicht alleine dasteht mit diesem Problem und diesem von Google aufgegriffenen und im Web allseits bekannten Kniffs, diesem Problem auf diese Weise zu begegnen. Das Unredliche an der Google-Schelte in diesem Punkt ist: so gut wie alle machen das so, nicht nur Google. Und Google ist auch nicht der erste, der zu diesem im freien Internet (nicht von Google) publizierten Kniff gegriffen hat. Facebook macht das so und empfiehlt es seinen Entwicklern. Microsoft macht das so und empfiehlt es seinen Entwicklern. Und viele, viele andere Unternehmen und Anbieter machen das auch. Weil es leider keine funktionierende bessere Lösung gibt derzeit!

Dass die Lösung in Bezug auf den Safari doppelt blöd ist, weil der Safari ausgerechnet da sogar eine Sicherheitslücke hat, die das Ganze auch noch unter sicherheitskritischer Betrachtung sehr bedenklich macht und das zumindest entschärft, wenn nicht sogar unterbunden wäre, wenn Safari da keine Sicherheitslücke gehabt hätte und sich richtigerweise an das gehalten hätte, was P3P vorschreibt, das ist dann eigentlich nur noch als "Verkettung unglücklicher Umstände" anzusehen. Das Problem ist aber so grundsätzlicher Natur und nicht allein Safari betreffend und nicht allein Google betreffend, dass, wenn überhaupt, hier nicht nur Google auf die Untersuchungsbank sollte, sondern gerechterweise dann die halbe Internet-Industrie, die dieses Verfahren, das Google auch nicht selbst erfunden hat, sondern nur aufgegriffen hat, ebenfalls alle tagtäglich haargenauso anwenden und empfehlen. Weil eben keine bessere Lösung da ist. Weil P3P in nahezu allen Browsern nur unzureichend umgesetzt ist.

Wäre P3P in den Browsern überall so umgesetzt wie der W3C Standard es vorgibt und verlangt, stellte sich das Problem gar nicht erst, und dann müssten weder Google noch Facebook noch Microsoft noch irgendein anderer Inhalteanbieter im Netz überhaupt zu solchen Griffen in die Trickkiste greifen...

@ Dirk
das lässt sich nur mit der Genialität der Entwickler erklären, die sind gleichzeitig noch so verpeilt das
so ein "Anfängercode" gar nicht auffällt , der geht
so nebenher mit ins Programm..

Ich habe {hier bitte beliebige Tat eintragen} nicht aus Absicht getan. Es ist einfach über mich gekommen, echt!

sierkb

Man sollte also rechts überholen, nur weil das einige (und weiß Gott nicht "so gut wie alle" Webseitenbetreiber, sondern eine sehr, sehr kleine Minderheit!) ebenso machen?

Welche Rechtfertigung bitte schön ist das denn?

Nachtrag:

Bzw. hätten die Browser-Hersteller sich über die Jahre alle dafür stark gemacht, den in die Jahre gekommenen P3P-Standard so aufzumöbeln und zu verbessern, dass er auch praxistauglich ist (Google beklagt ja, wie andere auch, dessen Praxistauglchkeit), dann würden solche Tricksereien im Sinne von Rettungsanker und Notbehelf gar nicht notwendig sein.

Siehe zu dem ganzen Themenkomplex u.a. auch:

Spiegel Online (21.02.2012): Ausgetrickster Cookie-Datenschutz -- Microsoft schwärzt Google an

Kristian Köhntopp (20.02.2012): C is for Cookie, G is for Google

Kristian Köhntopp (05.02.2012): C is for Cookie

Wie umgeht man etwas nicht absichtlich?

Dr. Seltsam:

Lies mal bitte die nachgereichten Links.
Und mache diesen Unternehmen und Anbietern gegenüber gegenüber Verbesserungsvorschläge. Nicht nur sie, sondern mit ihnen auch eine ganze Reihe anderer Anbieter werden und würden Dir äußerst dankbar dafür sein und Dir die Füße dafür küssen, wenn Du denen eine umsetzbare und praxistauglichere Lösung präsentieren würdest und könntest. Aus böser Absicht hat Google, haben viele andere das ganz bestimmt nicht getan, sondern aus purer Not mangels einer besseren momentan zur Verfügung stehenden Lösung (langfristig gesehen wäre die bessere Lösung ein besserer und praxistauglicherer P3P-Standard, der dann auch zu 100% von allen Browser-Herstellern umgesetzt ist und auf den man dann als Entwickler und Anbieter von Diensten im WWW bauen und vertrauen kann. Leider existiert an dieser Front derzeit aber ein Mangel bzw. man hat's offenbar jahrelang an allen Fronten schleifenlassen).

Wie gesagt: Google steht mit dieser Problematik nicht alleine da, Google ist da umgeben von vielen, vielen anderen mit gleicher Herausforderung und gleicher Lösung der Problematik. Auf Google sind jetzt nur alle Scheinwerfer gerichtet, und ausgerechnet Konkurrenten wie z.B. Microsoft (von denen stammt evtl. sogar auch die Aufmerksammachung der EU- und US-Behörden), die genau dasselbe machen und nicht nur machen, sondern auf ihren Entwicklerseiten sogar empfehlen, zeigen gerade laut mit dem Finger auf Google (siehe Spiegel-Artikel)...

Das ganze Lamentieren ist zwecklos: NIEMAND wurde gezwungen, diese Lücke zur "verschleierten Verarbeitung von Nutzerdaten" zu nutzen.

Niemand, auch Google nicht.

Es hat, wenn man die Zahl der Websites insgesamt sieht, auch so gut wie niemand gemacht. Einige wenige Webdienste, darunter auch Google.

Google hätte es auch einfach lassen können, aber Google hat sich mit dem Ziel der Mehrung des eigenen Profits durch Pushen der eigenen Dienste ganz bewusst darüber hinweggesetzt und extra dafür ein Stück Spionagecode eingebaut.

Google is evil.

Dr. Seltsam:

Deine Äußerungen sagen nur eines: Du hast obige Links, insbesondere die von Kristian Köhntopp, offenbar NICHT gelesen und/oder nicht verstanden.

U.a. verlinkt Köhntopp auf den unverdächtigen Lauren Weinstein (), der erklärt noch ein paar weitere technische Hintergründe zu dem Ganzen:

Lauren Weinstein (18.02.2012): Google, Safari, and a Clamor of Cookie Confusion

Lauren Weinstein (20.02.2012): Microsoft newly attacks Google cookie policies, but history reveals otherwise!

Ebenso ins gleiche Horn wie Spiegel, Weinstein und Köhntopp:

ZEIT.de (21.02.2012): Google trickst mit Cookies auch im Internet Explorer
Nicht nur im Safari-Browser, sondern auch im Internet Explorer umgeht Google eine Sperre gegen Cookies von Drittanbietern. Microsofts Empörung ist aber geheuchelt.

entwickler.com (21.02.2012): Microsoft schneidet sich ins eigene Fleisch: Google umgeht Privatsphäreeinstellungen von Safari und Internet Explorer

heise (21.02.2012): Google umging auch die Cookie-Einstellungen des Internet Explorer Update :

Microsoft Support Document kb323752: Sitzungsvariablen gehen verloren, wenn FRAMESET in Internet Explorer 6.0 verwendet wird

Sehr sehr kleine Minderheit? Soso...

Quelle:

Genau. Und durch Deine ständige Wiederholung wird's auch nicht wahrer. So ein selten dümmlicher Spruch entlarvt eigentlich nur einen sehr begrenzten Horizont.
Und die Erde ist eine Scheibe. Und überhaupt und sowieso ist die ganze Welt nur noch schlecht!

@sirkB
mal andersrum von einem Laien gefragt , welche Nachteile entstünden denn dem User wenn dieser Code nicht drinne wäre?, denn das ist doch entscheidend..

mr.-antimagnetic:

Dann können gewisse Funktionalitäten der betreffenden Webseite eben nicht oder nicht mehr so so komfortabel und benutzerfreundlich angeboten werden, z.B. Tracking über mehrere Benutzer-Sessions hinweg. Das ist aber in manchen Fällen notwendig, um dem Benutzer, der sich an verschiedene übergansfreie Vorgänge gewöhnt hat und es komfortabel findet, nicht zusätzlich irgendwelche Hürden in den Weg zu legen, die ihm das Ganze wieder unkomfortabler machen als er es bislang gewohnt ist.

Na was sagt uns das wieder? Diskussionsmaraton lohnt nicht

LOL

Aus versehen eine Sicherheitslücke ausgenutzt.

ROTFL

Ich bin kein Google-Hasser, aber hier gehört ihnen ordentlich was aufs Dach. Sich ungefragt an Nutzerdaten zu bedienen, weil keiner explizit widersprochen (aber auch nicht zugestimmt) hat ist ja schon dreist, da hat aber in der Branche aber leider keiner mehr ein schlechtes Gewissen. Aber dem ausdrücklichen Wunsch des Nutzers entgegen zu handeln ist noch mal um Klassen krimineller. Da kann man sich vorstellen , was mit Adressbüchern, die man denen freiwillig überlässt passiert. Die kriegt weder Google, Apple noch sonstirgendwer von mir, ich würde mir nur Wünsche Freunde und bekannte von mir würden das auch so handhaben, leider braucht man sich da keine Illusionen machen.

Andreas Hoffmann:

Mir scheint, Du hast nicht ganz verstanden, worum es geht. Erstens: wo bedient sich Google ungefragt Benutzerdaten? Zweitens: wenn Benutzerdaten theoretisch hätten abgegriffen werden können, dann liegt das nicht an Google, sondern dann liegt es an einem Bug in Safari, der auf Apples Konto geht und nicht auf Googles Konto.

Google hat lediglich eine fehlerhafte Implementierung der Cookie-Steuerung in Safari genutzt, um seine Dienste über Safari dem Nutzer überhaupt anbieten zu können. Und ganz nebenbei und über diese fehlerhafte Cookie-Implementierung hinaus ist diese fehlerhafte Implementierung der Cookiesteuerung in Safari dann auch noch zufällig eine Sicherheitslücke, weil darüber an weitere Benutzerdaten hätte gelangt werden können. Hätte. Konjunktiv! Dafür kann Google aber nix, denn diese Sicherheitslücke ist so oder so in Safari vorhanden und hätte so oder so eigentlich nicht vorhanden sein dürfen!

Wenn Du also jemanden unbedingt prügeln willst, dann solltest Du ZUERST Apple prügeln -- und zwar in zweierlei Hinsicht: 1. dass sie eine fehlerhafte und praxisuntaugliche Cookie-Implementierung in Safari haben. Und zweitens, dass diese fehlerhafte Cookie-Implementierung dann auch noch zusätzlich so geartet ist, dass sie darüberhinaus auch noch ein Sicherheitsrisiko war/ist. Und dann, wenn Du dann Deine Schelte verteilt hast, dann kannst Du Dir meintetwegen Google vornehmen, dass sie es gewagt haben, für Safari eine im Netz weit verbreitete Lösung anzubieten, um Apples fehlerhafte Cookie-Implementierung zu umschiffen und damit überhaupt Safari zu befähigen und den Safari-Nutzern zugänglich zu machen, Möglichkeiten im Sinne nahtloser Übergänge überhaupt mit Safari nutzen zu können.

Google hätte wie wiele andere Anbieter auch sagen können: "Safaris Cookie-Implementierung ist so dermaßen scheiße und fehlerhaft (und sie gaukelt dem Benutzer Dinge und eine falsche Sicherheit vor, die nicht den Tatsachen entsprechen und die der Browser nicht halten kannn), wir können nur davon abraten, unsere Services mit Safari zu nutzen. Nutzt stattdessen Browser XYZ, mit dem klappt kann das besser!" Hat Google aber nicht getan, hat Facebook nicht getan, hat Microsoft nicht getan, und haben ein gutes Drittel von gut 30.000 untersuchten Websites auch nicht getan. Sie alle haben Safari mithilfe dieses (bzw. im Fall von IE mithilfe eines ähnlichen) Tricks bedient, anstatt ihn trotz seiner so fehlerhaften Cookie-Implementierung zu stigmatisieren und zu ignorieren und von der Nutzung von Safari im Zusammenhang mit der Nutzung von bestimmten Google-Diensten abzuraten (was eigentlich richtig bzw. folgerichtig gewesen wäre im Sinne dessen, was man Google jetzt vorwirft).