Безопасность IIS

       

Определения секретности и P3P


Если послушать некоторых правозащитников, представление о политиках секретности и P3P значительно изменится. Они говорят о том, что в P3P не требуется принуждение или компенсация. Действительно, возможно создать политики P3P так, чтобы они выглядели подобающим образом, даже если вы не хотите обеспечивать соответствие функциональности сайта политикам (если руководствоваться таким подходом, можно вызвать гнев членов Федеральной торговой комиссии и другие санкции). В то же время применение P3P в IE6 объясняется адвокатами как "вынужденное принятие" некорректного стандарта секретности. Некоторые высказывали мнение, что фильтры P3P "наказывают администраторов посредством блокировки или задерживания их элементов cookie" (слова Бенжамина Райта, автора Закона об электронной коммерции [Aspen Law & Business, 1990-2000]). По словам Райта, для любой организации, правительственной службы или другой структуры язык кодирования P3P представляет собой угрозу судебных процессов. Написанная на нем политика секретности в большинстве случаев подвергает компанию ответственности. Политика секретности, даже написанная на компьютерных языках, может на легальных основаниях иметь юридическую силу, как контракт. В судебных процессах, проходивших в 1999 г., истцы вынудили US Bancorp заплатить 7,5 миллионов долларов за несоответствие положениям, указанным в политике секретности на веб-сайте этой компании.

По мнению Райта, перед веб-администраторами стоит дилемма: как удовлетворить техническим требованиям IE6 для кодов P3P, чтобы не возлагать на политику секретности лишнюю ответственность. В качестве выхода из положения он предлагает разработать отказ от ответственности, написанный в виде нового кода на языке P3P. Новым кодом является DSA – сокращение от "disavow P3P and any liability it carries" (отказ от ответственности за P3P). Веб-администраторы могут использовать DSA в "компактных" политиках секретности P3P, руководствуясь следующим определением.

Символы DSA в компактной политике секретности P3P означают следующее: коды P3P и так называемые политики секретности P3P, которые мы публикуем, не имеют значения и не несут обязательств или ответственности.
Они являются вымышленными. Мы отказываемся от какой-либо значимости этих кодов и политик, а также игнорируем все аспекты протокола P3P. Мы применяем коды P3P только в качестве технических мер, позволяющих нашему сайту правильно функционировать. Некоторым браузерам требуются эти коды для выполнения элементов cookie. Использование нами P3P никак не связано с какими-либо политиками данных и секретности, которыми мы можем руководствоваться. Для получения дополнительной информации посетите сайт http://www.disavowp3p.com.

Здесь вы видите одно из возможных решений вопроса, связанного с использованием P3P, но предварительно следует представить его в юридический отдел. Необходимо выяснить, является ли P3P-код достаточно законченным, чтобы соответствовать исходным целям его создателей, или от него нужно отказаться, как от неудачной попытки автоматизировать то, что более эффективно выполняется при помощи компаний, придерживающихся четких стандартов, и людей, хорошо осведомленных в юридической области.


Содержание раздела