Jaa


Конфиденциальность, надстройки и HTTP-запросы без cookie-файлов

 

В недавно опубликованной статье было высказано ошибочное предположение, что надстройки Internet Explorer при совершении HTTP-запросов должны отсылать и хранить cookie-файлы. Это неправда – программные интерфейсы (API) Internet Explorer позволяют надстройкам учитывать конфиденциальность пользователя и не распространять его данные. Существующие API, доступные для надстроек в любой версии IE, позволяют выполнить задачу, описанную в этой статье.

Надстройка, использующая WinINET для отправки HTTP-запросов, может пресечь стандартное поведение cookie-файлов посредством параметра INTERNET_FLAG_NO_COOKIES, который автоматически запретит отправку и хранение cookie-файлов.

INTERNET_FLAG_NO_COOKIES

0x00080000

Не добавляет автоматически заголовки cookie-файлов в запрос и автоматически не добавляет возвращенные cookie-файлы в базу данных cookie-файлов.

Если надстройка совершает HTTP-запрос посредством URLMon, она может использовать параметр BINDF2_DISABLEAUTOCOOKIEHANDLING среди параметров привязки.

BINDF2_DISABLEAUTOCOOKIEHANDLING

Не добавляет автоматически заголовки cookie-файлов в запросов и автоматически не добавляет возвращенные cookie-файлы в базу данных cookie-файлов. Установка этого параметра добавляет параметр Microsoft Win32 Internet (WinInet) INTERNET_FLAG_NO_COOKIES в текущий моникер привязки. Вы по-прежнему можете установить cookie-файлы по запросу вручную и получить их из ответа.

Если в надстройке используется конструкция более высокого уровня и сервер поддерживает Access-Control, IE8 предлагает объект XDomainRequest, автоматически пресекающий cookie-файлы и проверку подлинности.

Если в надстройке используется элемент управления обозревателя (Web Browser Control), она может использовать функции конфиденциальности IInternetSecurityManager и/или WinINET для детального управления поведением cookie-файлов. В качестве альтернативы надстройка может использовать WinHTTP для HTTP-запросов (который вовсе не поддерживает автоматическую обработку cookie-файлов).

Помимо существующих API для управления отправкой cookie вместе с HTTP-запросами, в Internet Explorer 8 имеются новые API конфиденциальности, добавляющие в надстройки поддержку функции удаления журнала обозревателя и просмотра InPrivate.

Спасибо вам за помощь в сохранении конфиденциальности пользователей!

Эрик Лоуренс (Eric Lawrence)

Руководитель группы разработчиков