Ukladani cookies z iframe v C# pro IE (P3P)

2009-05-15T16:01:00Z

Problem:

Standardni nastaveni zabezpeceni cookies v IE (Privacy - Medium) ignoruje ulozene cookies, pokud patri k jine domene, nez je domena stranky. Typicky k takovemu pripadu dojde, pokud stranka obsahuje iframe s odkazem do jine domeny a ta uklada cookies.

Pozadi:

Cookies z takove iframe se nazyvaji third-party. Jsou povazovany za neverohodne a nebezpecne z hlediska phishingu.

Reseni na urovni uzivatele:

Uzivatel ma nekolik moznosti, jak i v takovem pripade ukladani cookies povolit:
a) volba Internet Option -> Privacy -> Accept All Cookies
b) povolit ukladani third-party cookies: Option -> Privacy -> Advance ->
-> Override ... -> Third Accept
c) povolit ukladani pro specifikovanou domenu: Option -> Privacy -> Sites
d) povolit ukladani blokovane domeny: dvojklik na ikonu 'oko s cervenym
zakazem stani' ve spodni liste okna IE, volba Allow.

Reseni bez interakce uzivatele:

Stranka z iframe, ktera uklada cookies, musi ve sve hlavicce obsahovat tzv. Compact Policies. Diky nemu IE reklasifikuje tuto stranku z third-party na first-party. Jde o metatag tohoto tvaru:

<meta http-equiv="P3P" content='CP="CAO DSP COR CURa DEVa IVAa OUR IND STA"'>

Do ASPx stranky, ktera zapisuje ci maze cookies, jej nejsnaze dostaneme takto:

Response.AddHeader("p3p", "CP=\"CAO DSP COR CURa DEVa IVAa OUR IND STA\"");

Asi nejlepsi je umistit tento radek hned vedle zapsani cookies (Response.Cookies["cookCateg"]["cookName"] = "cookVal";).

Odkazy a blizsi vysvetleni:

Tripismenne zkratky (plus obcas pismeno a|i|o) v Compact Policies shrnuji duvody, proc stranka uklada cookies a obecne sbira data, jake kategorie dat uklada, jak dlouho je skladuje ap. Tyto duvody deklaruje vlastnik stranek. Ve vyse zminenem postupu d) mame moznost se tyto informace docist v lidsky citelnem formatu.

Presny vyznam zkratek uvadi specifikace W3C Platform for Privacy Preferences (P3P) [http://www.w3.org/TR/P3P/] v casti [http://www.w3.org/TR/P3P/#compact_policies]. Je to zpusob jak kozu nasytit (IE povoli cookies), ale bezpecnost a verohodnost nezvysit. Zatimco specifikace P3P povazuje Compact Policy pouze za volitelnou a doplnujici informaci ke dvema povinnym XML souborum obsahujicim vyse zminene informace vcetne kontaktu (adresa, telefon, email) na zodpovednou osobu ci instituci, IE vyzaduje pro cookies jen tu nepovinnou, anonymni a snadno kopirovatelnou cast Compact Policy.

Konkretni XML soubory i jim odpovidajici Compact Policy retezec se daji zdarma vygenerovat pres webovy formular [http://pics.enc.or.jp/privacy/tools/p3pwiz/p3p_en.html]. Ziskame tak nasledujici dva ukazkove soubory (konkretni data modifikovana):

1. P3P referencni soubor [p3p.xml]
<META xmlns="http://www.w3.org/2002/01/P3Pv1">
   <POLICY-REFERENCES>
   <POLICY-REF about="http://www.divadlo.cz/w3c/policy.xml#policy1">
       <INCLUDE>/*</INCLUDE>
       <COOKIE-INCLUDE name="*" value="*" domain="*" path="*" />
   </POLICY-REF>
   </POLICY-REFERENCES>
</META>

2. P3P policy soubor [policy.xml]
<POLICIES xmlns="http://www.w3.org/2002/01/P3Pv1">
<POLICY name="policy1"
   discuri="http://www.divadlo.cz/">
   <ENTITY>
       <DATA-GROUP>
           <DATA ref="#business.name">Divadelní ústav</DATA>
           <DATA ref="#business.department"></DATA>
           <DATA ref="#business.contact-info.postal.street">Celetná 43</DATA>
           <DATA ref="#business.contact-info.postal.city">Praha 1</DATA>
           <DATA ref="#business.contact-info.postal.stateprov">Czech Republic</DATA>
           <DATA ref="#business.contact-info.postal.postalcode">110 00</DATA>
           <DATA ref="#business.contact-info.telecom.telephone.intcode">420</DATA>
           <DATA ref="#business.contact-info.telecom.telephone.loccode"></DATA>
           <DATA ref="#business.contact-info.telecom.telephone.number">225125763</DATA>
           <DATA ref="#business.contact-info.online.email">divak@divadla.cz</DATA>
       </DATA-GROUP>
   </ENTITY>
   <ACCESS><contact-and-other/></ACCESS>
   <DISPUTES-GROUP>
       <DISPUTES resolution-type="service"
           service="http://divadlo.cz"
       >
       <IMG src="http://www.divadlo.cz/logo.png" alt="Divadelni ustav - logo"/>
       <REMEDIES><correct/></REMEDIES>
       </DISPUTES>
   </DISPUTES-GROUP>
   <STATEMENT>
       <PURPOSE>
           <current required="always" />
           <develop required="always" />
           <individual-analysis required="always" />
       </PURPOSE>
       <RECIPIENT>
           <ours></ours>
       </RECIPIENT>
       <RETENTION>
           <indefinitely/>
       </RETENTION>
       <DATA-GROUP>
           <DATA ref="#dynamic.cookies" optional="yes">
               <CATEGORIES><state/></CATEGORIES>
           </DATA>
       </DATA-GROUP>
   </STATEMENT>
</POLICY>
</POLICIES>

Doporucene misto pro oba soubory je v adresari [/w3c] v rootu webu. (Jeste jednou opakuji, ze tyto XML soubory nejsou pro zaktivneni cookies potreba.)

Validaci syntaxe, umisteni i konzistence techto dat je mozne provest zde [http://validator.w3.org/p3p/20020128/p3p.pl] (zaznamenany caste vypadky). Stranky splnujici P3P standard roboty automaticky zarazuji na seznamu [http://www.privacyfinder.org/].

Poznamka:

FireFox standardne uklada a pracuje se vsemi cookies a vyse zminena uprava neni pro nej treba.

Vit Zyka

vitz

Ukladani cookies z iframe v C# pro IE (P3P)