Qual è l'intestazione P3P più ampia che funzionerà con IE?

Question

"Media sicurezza" in IE8 afferma che third-party cookies that save information that can be used to contact you without your explicit consent sono bloccati.

Qual è l'intestazione P3P più ampia che significa che non raccogliamo tali informazioni e che non verranno bloccate da IE?

Voglio saltare i dettagli sgradevoli della politica P3P, e basta impostare l'intestazione che implica i minimi obblighi legali. La sua semantica dovrebbe essere:

we collect everything except information that can be used to contact you. 

... senza specificare altro.

Si noti che la maggior parte delle intestazioni P3P sono inclusive - se non sono presenti, non è consentito utilizzare le informazioni per questo scopo - quindi l'intestazione P3P che sto cercando dovrebbe contenere un sacco di flag.

Answer 1

Da mio test, uno di questi attributi P3P impedirà IE8 dal salvataggio di un terzo cookie di partito:

CON, TEL, PHY, ONL, FIN, GOV

CON

Le informazioni possono essere utilizzate per contattare l'individuo, tramite un canale di comunicazione diverso dal telefono vocale, per la promozione di un prodotto o servizio. Ciò include la notifica ai visitatori degli aggiornamenti al sito Web.

TEL

Le informazioni possono essere utilizzate per contattare l'individuo tramite una chiamata telefonica vocale per la promozione di un prodotto o servizio.

PHY

Le informazioni che permette a un individuo di essere contattato o trova nel mondo fisico - come il numero di telefono o l'indirizzo.

ONL

Le informazioni che permette a un individuo di essere contattato o trova su Internet - come la posta elettronica. Spesso, questa informazione è indipendente dal computer specifico utilizzato per accedere alla rete. (Vedere la categoria COM)

FIN

informazioni circa le finanze di un individuo, tra cui lo stato del conto e le informazioni di attività, come saldo del conto, il pagamento o la storia scoperto, e le informazioni relative all'acquisto o all'uso di strumenti finanziari di un individuo compreso informazioni sulla carta di credito o di debito.

Quindi non includerli se vuoi che IE8 non ti blocchi.Ho trovato i seguenti flag di essere il più ampia, legalese saggio, mentre ancora funzionare bene con IE:

NON DSP LEGGE CUR ADM DEV TAI PSA PSD SUA LA NOSTRA DEL IND UNI PUR COM NAV INT DEM CNT STA POL HEA PRE LOC IVD SAM IVA OTC

Answer 2

L'elenco autorevole è MSDN. Cerca in quella pagina per Unsatisfactory Cookie Tags.

Answer 3

"Voglio saltare i cattivi dettagli della politica P3P"

E 'possibile impostare un'intestazione HTTP P3P senza attributi dei dati sulla privacy compatta validi.

Facebook fa questo. Ecco l'intestazione P3P HTTP da facebook.com:

P3P: CP="Facebook does not have a P3P policy. Learn why here: http://​fb.me/p3p" 

Google lo fa troppo:

p3p: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info." 

Questo è accettato da Internet Explorer. Ad esempio, l'impostazione della privacy "alta" di IE blocca tutti i cookie dai siti Web che non dispongono di una politica sulla privacy compatta, ma i cookie accompagnati da non-policy P3P come quelli sopra non sono bloccati.

Se si implementa come un non-politica di P3P, essere sicuri di includere il linguaggio naturale che spiega sia non una vera politica P3P, evitare di usare parole che sono gettoni P3P valide, e anche un link al l'URL di un più lungo spiegazione o alla politica sulla privacy reale del tuo sito.

---

UPDATE: Nel 2012, Microsoft accused Google of bypassing user privacy settings a causa di questa pratica, e loro added a "strict P3P validation" setting to IE 10 and 11. Se abilitato, rifiuta i cookie che sono accompagnati da criteri P3P che contengono token non definiti. Credo che l'impostazione fosse disabilitata per impostazione predefinita.

Microsoft finally gave up on P3P a partire da Windows 10. Quindi per Edge (e IE 11 su Windows 10), una politica P3P non influisce sull'accettazione dei cookie.

È possibile controllare l'intestazione di richiesta User-Agent per impostare solo l'intestazione P3P sulle versioni interessate di IE.