AS: 79. Strikte P3P-Überprüfung aktivieren

  • Article

GUI Name: Strikte P3P-Überprüfung aktivieren / Enable Strict P3P Validation

Supported On: Mindestens Internet Explorer 10.0

Registry Schlüssel: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\

Registry Wert: EnforceP3PValidity

Erklärung:

Auszug aus Google Bypassing User Privacy Settings:

In den Standardeinstellungen von IE werden Cookies von Drittanbietern blockiert, es sei denn, die Website verfügt über eine P3P-Richtlinienanweisung, die darauf hinweist, wie die Cookies verwendet werden und dass die Aktivitäten des Benutzers nicht durch den Aufruf der Website nachverfolgt werden. Aufgrund der P3P-Richtlinie von manchen Anbietern werden die Cookies in Internet Explorer akzeptiert, obwohl die Richtlinie nicht über die Absichten des Anbieters informiert.

Bei P3P, einer offiziellen Empfehlung des W3C-Gremiums für Webstandards, handelt es sich um eine Webtechnologie, die von allen Browsern und Websites unterstützt werden kann. Mit P3P kann für Website beschrieben werden, welche Absicht hinter der Verwendung von Cookies und Benutzerdaten steht. Durch die Unterstützung von P3P können Browser Cookies entsprechend der Datenschutzeinstellungen der Benutzer und den auf der Website angegebenen Absichten blockieren oder zulassen.

Es sollte angemerkt werden, dass die Benutzer nicht einfach auf die P3P-Richtlinien zugreifen können. Diese Richtlinien werden mithilfe von HTTP-Headern von der Website direkt an den Webbrowser gesendet. Nur technisch versierte Personen, die über spezielle Tools wie den Cookie-Inspektor von Fiddler verfügen, können die P3P-Beschreibung anzeigen. Die P3P-Richtlinienanweisung der Website „Microsoft.com“ lauten beispielsweise folgendermaßen:

P3P: CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

Für einen P3P-kompatiblen Webbrowser hat jedes Token (z. B. ALL, IND) eine spezielle Bedeutung. „SAMo“ bedeutet beispielsweise „Wir [die Website] geben Informationen an juristische Personen weiter“, und „TAI“ gibt an: „Informationen können dazu verwendet werden, den Inhalt oder das Design der Website während eines einzelnen Besuchs entsprechend auf den Besucher zuzuschneiden bzw. zu ändern, werden jedoch nicht für zukünftige Anpassungen genutzt.“ Die Feinheiten des Datenschutzes sind kompliziert, und auch der P3P-Standard ist komplex. Weitere Informationen zu P3P finden Sie hier.

Aus technischer Sicht verwenden manche Anbieter eine Nische in der P3P-Spezifikation, die dazu führt, dass die Benutzereinstellungen für Cookies umgangen werden. Die P3P-Spezifikation besagt (als Versuch, Raum für zukünftige Verbesserungen an Datenschutzrichtlinien zu lassen), dass nicht definierte Richtlinien von Browsern ignoriert werden sollen. Diese Anbieter senden eine P3P-Richtlinie, die den Browser nicht über die Verwendung von Cookies und Benutzerdaten durch den Anbieter informiert. Die P3P-Richtlinie eines solchen Anbieters kann in Wirklichkeit eine Anweisung sein, bei der es sich nicht um eine P3P-Richtlinie handelt. Sie soll von Menschen gelesen werden. P3P-Richtlinien sollen jedoch von Browsern „gelesen“ werden, z.B.:

P3P: CP="This is not a P3P policy! See https://www.boeseranbieter.com/support/accounts/bin/answer.py?hl=en\&answer=151657 for more info."

P3P-kompatible Browser interpretieren eine solche Richtlinie so, als stünde hinter der Verwendung des Cookies weder eine Nachverfolgungsabsicht noch ein sonstiger Zweck. Mithilfe dieses Texts umgeht der Anbieter den Cookie-Schutz und ermöglicht so, dass Cookies von Drittanbietern zugelassen anstatt blockiert werden. Die P3P-Spezifikation („4.2 Compact Policy Vocabulary“) ruft für die Verarbeitung unbekannter Tokens das implementierte Verhalten von IE auf: “If an unrecognized token appears in a compact policy, the compact policy has the same semantics as if that token was not present.”

Auch der Abschnitt „3.2 Policies“ der P3P-Spezifikation ist bemerkenswert:

3.2 Policies

In cases where the P3P vocabulary is not precise enough to describe a Web site's practices, sites should use the vocabulary terms that most closely match their practices and provide further explanation in the CONSEQUENCE field and/or their human-readable policy. However, policies MUST NOT make false or misleading statements.

P3P ist für Websites ausgelegt, die ihre Datenschutzabsichten übermitteln.

Dieses Setting verhindert das Ausnutzen der o.g. Schwachstelle im P3P Standard.

W3C P3P Validator

Google Bypassing User Privacy Settings

Cookie Scanning with Fiddler

Mögliche Werte:

0 => image

1 => image