IE6.0 - Pretty Poor Privacy

Microsoft Internet Explorer 6.0 har kommet i endelig versjon, i allefall på engelsk, og de som har lastet den ned og leser dette har antagelig fått en advarsel mot nettsidene i digi.nos spalter. Reklamen snakker om bedre personvern. Jeg er nå ikke så helt sikker på det.

Personvernteknologien Microsoft Corporation reklamerer med å ha tatt i bruk er P3P, en snurrig forkortelse som representerer fire ganger P i navnet Platform for Privacy Preferences Project.

Den første haken med denne teknologien ligger i det første P-ordet. Det er kun en plattform, et rammeverk som i Norge må fylles med et innhold som forholder seg til norske lover og regler. Å kreve at den enkelte bruker leser et nettsteds erklæring om behandling av personinformasjon for selv å tolke dette i forhold til norske regler, er ikke holdbart.

En annen ting er at P3P ikke er nevneverdig utbredt ennå.

Standardiseringsorganisasjonen W3C har i den tidlige fasen av P3P laget en ikke uttømmende oversikt over nettsteder som bruker P3P. Nå vil jeg tro at lanseringen av Internet Explorer 6.0 vil medføre at antall norske nettsteder som bruker P3P vil øke, men per dags dato ser det ut til at det kun er jeg selv som har registrert meg på listen til W3C.

Hvordan P3P virker
P3P er omtalt tidligere i digi.no, men det er på sin plass å gi en kort forklaring på hva denne standarden går ut på. P3P omfatter et XML-basert språk som en tjenestetilbyder på verdensveven kan bruke til å skrive en erklæring om hva slags opplysninger som samles inn, hva denne informasjonen brukes til og hvilke andre enn tjenestetilbyder som får tilgang til informasjonen. Tjenestetilbyder kan også gi opplysninger om seg selv, klageinstanser, hvilke lover og regler man følger, og om man er medlem av merkeordninger. Siden alt dette er skrevet i XML kan erklæringen tolkes av datamaskinen. Når man leser fjorårets kritikk av P3P må man være oppmerksom på at en del av det som er skrevet gjelder tidligere utkast til standarden. Den versjonen som gjelder i dag ble publisert i desember 2000 og de siste retningslinjene fra W3C om hvordan P3P skal brukes, kom så sent som 31. juli 2001. Standarden er forbedret, men den er fremdeles så ny at det er en ramme uten nevneverdig innhold. Og, til tross for forbedringene har P3P fremdeles mangler.


Det viktigste man skal merke seg er at P3P kun dreier seg om erklæringer. Det er ingen mekanismer som fanger opp juks, løgn eller at erklæringen er feilaktig av andre årsaker. I Norge har P3P meget begrenset verdi før Datatilsynet, Forbrukerombudet eller private merkeordninger som Nsafe forholder seg til teknologien og kan anbefale maler for innholdet i erklæringene, og har kompetanse til å kontrollere at det som blir sagt i erklæringene medfører riktighet.

Cookies og cookies
Microsoft har tolket P3P på sin måte og i deres verden dreier det seg i hovedsak om cookies (informasjonskapsler på norsk). Microsoft har endelig laget et litt mer praktisk filter for cookies, noe andre nettlesere har tilbudt lenge. Internet Explorer 6.0 forholder seg til cookies fra tredjepart. Disse brukes gjerne i forbindelse med reklame, web-bugs og avanserte statistikktjenester. Ulempen er at brukergrensesnittet i Internet Explorer bare gir tilgang til et meget begrenset utvalg av de valgene P3P gir mulighet til. For å velge instillinger ut over dette er det nødvendig å redigere XML-filer.

Det kreves relativt høy kompetanse for at brukeren faktisk skal kunne forholde seg til informasjonen i P3P og innstillingene til nettleseren.

Det er sannsynlig at de fleste brukere vil bruke standardinstillingen nettleseren kom med, og ikke tenke mer over dette. Mange av disse vil ikke engang sette seg inn i hva standardinstillingen betyr.

Et annet problem er at en del nettsteder møter brukeren med en beskjed om at det er påkrevet med cookies for å bruke tjenesten. Dagens utgave av P3P er ikke særlig godt tilpasset situasjoner hvor bruker og tjenestetilbyder er uenige om hvor mye informasjon man skal gi fra seg. Internet Explorer gjør det enkelt å skru av beskyttelsen, enten for ett og ett nettsted eller rett og slett for alle.

På et tivoli er det greit nok at man møter et skilt som sier at "du må være så høy for å kjøre denne karusellen", men det er ikke så effektivt når brukerne kan stå på en krakk når høyden skal måles. Andre steder enn et tivoli er det også tvilsomt om man kan stille all verdens krav før kundene får slippe inn i forretningslokalene.

Microsofts egen anbefaling når brukere får melding om at et nettsted krever å få bruke cookies er å endre instillingen av «Privacy» på Internet Explorer 6.0 til en av de to laveste innstillingene. (Referanse er Microsofts artikkel Q299331 ble revidert 27. august 2001.) Det er et nokså dårlig råd å gi dersom man virkelig mener noe med bedre personvern.

Ikke det eneste problemet
Nå er det ikke noen nyhet at enkelte brukere ikke ønsker å bruke cookies, og det er da også utviklet løsninger som tilbyr mye av den samme funksjonaliteten på annen måte. Mye har skjedd siden Netscape utviklet cookies, og det er uheldig å fokusere for mye på én teknologi. P3P er blitt til med de beste intensjoner, men det er en standard som bare adresserer en del av et større problem.

Microsoft utnytter en av løsningene som bruker en annen metode enn tredjepart cookies for å la nettsteder utveksle informasjon om brukere i tjenesten Passport. Det kan i utgangspunktet virke som en veldig kjekk tjeneste. Du trenger bare en brukeridentitet og ett passord for å kunne logge deg på en rekke forskjellige tjenester.

Det kan være nyttig for glemsomme mennesker som ønsker å være registrert på mange forskjellige nettsteder, men Passport undergraver det personvernet P3P forsøker å bedre. Brukere betror mye personlig informasjon til Microsoft, og både tjenesten Passport og Microsoft generelt, har sine svakheter med hensyn til sikkerhet.

Til tross for at nettlivet tilsynelatende blir enklere med én identitet og ett passord har brukerne en annen mening. I følge Gartner Group tror bare 11 prosent av amerikanske brukere at Passport gir dem en bedre brukeropplevelse. 70 prosent svarte at det var lite sannsynlig at de registrerte seg som Passport-brukere i nær framtid. Svært få av de som hadde registrert seg som Passport-brukere brukte tjenesten på andre enn Microsofts egne nettsteder. Det mest interessante ved undersøkelsen er at rundt 90 prosent har sagt at de ikke er interessert i å gi fra seg personopplysninger i bytte mot personlig tilpassede tjenester.

På spørsmålet "Where do you want to go today?" svarer altså et flertall at det er en privatsak.

Til toppen