Конфиденциальность, надстройки и HTTP-запросы без cookie-файлов
В недавно опубликованной статье было высказано ошибочное предположение, что надстройки Internet Explorer при совершении HTTP-запросов должны отсылать и хранить cookie-файлы. Это неправда – программные интерфейсы (API) Internet Explorer позволяют надстройкам учитывать конфиденциальность пользователя и не распространять его данные. Существующие API, доступные для надстроек в любой версии IE, позволяют выполнить задачу, описанную в этой статье.
Надстройка, использующая WinINET для отправки HTTP-запросов, может пресечь стандартное поведение cookie-файлов посредством параметра INTERNET_FLAG_NO_COOKIES, который автоматически запретит отправку и хранение cookie-файлов.
0x00080000
Не добавляет автоматически заголовки cookie-файлов в запрос и автоматически не добавляет возвращенные cookie-файлы в базу данных cookie-файлов.
Если надстройка совершает HTTP-запрос посредством URLMon, она может использовать параметр BINDF2_DISABLEAUTOCOOKIEHANDLING среди параметров привязки.
BINDF2_DISABLEAUTOCOOKIEHANDLING
Не добавляет автоматически заголовки cookie-файлов в запросов и автоматически не добавляет возвращенные cookie-файлы в базу данных cookie-файлов. Установка этого параметра добавляет параметр Microsoft Win32 Internet (WinInet) INTERNET_FLAG_NO_COOKIES в текущий моникер привязки. Вы по-прежнему можете установить cookie-файлы по запросу вручную и получить их из ответа.
Если в надстройке используется конструкция более высокого уровня и сервер поддерживает Access-Control, IE8 предлагает объект XDomainRequest, автоматически пресекающий cookie-файлы и проверку подлинности.
Если в надстройке используется элемент управления обозревателя (Web Browser Control), она может использовать функции конфиденциальности IInternetSecurityManager и/или WinINET для детального управления поведением cookie-файлов. В качестве альтернативы надстройка может использовать WinHTTP для HTTP-запросов (который вовсе не поддерживает автоматическую обработку cookie-файлов).
Помимо существующих API для управления отправкой cookie вместе с HTTP-запросами, в Internet Explorer 8 имеются новые API конфиденциальности, добавляющие в надстройки поддержку функции удаления журнала обозревателя и просмотра InPrivate.
Спасибо вам за помощь в сохранении конфиденциальности пользователей!
Эрик Лоуренс (Eric Lawrence)
Руководитель группы разработчиков