P3P konforme Seiten mit Domino ?

[datenbanken24]

P3P - "Platform for Privacy Preferences"


Hat es von Euch jemand irgendwie schon mal hinbekommen,
P3P-konforme Seiten über Domino zu generieren ?

Unglaublicherweise findet man im IBM Domino Forum gerade mal zwei Beiträge zu P3P und im Admin Handbuch kommt das Wort überhaupt nicht vor...

Problem:

Man hat Domino-generierte Webseiten mit Session Authentication, benötigt also Session Cookies.
Diese will man in externe Webseiten integrieren,
z.B. in einem Frame einer fremden Webseite
oder über einen Domain-Namen bei einem Provider wie z.B. 1und1 oder Schlund aufrufen.

Der MS IE 6 Browser läßt in der Standardkonfiguration "medium" sogenannte Drittanbieter-Cookies ohne Privacy Policy (Datenschutzbericht) nicht mehr zu. Ein Einloggen ist somit nicht möglich. Bekanntes Problem.

Hier eine allgmeine Beschreibung des P3P-Problems und Anleitung zur Erstellung einer eigenen Privacy:
http://www.bloggern.de/mckoch/archives/000481.php


Um nun diese, vom Explorer 6 verlangte, maschinenlesbare Datenschutzerklärung bekanntzugeben, erstellt man sich (wenn man denn endlich weiss, wie es geht)

- eine XML P3P-Policy
- ein Privacy Referenzfile p3p.xml
- und ein Privacy Description HTMl File

Nun muß man NUR NOCH Domino dazu bringen,
einen "P3P Compact Policy"-Eintrag in seinen HTTP Response Header aufzunehmen, z.B. in der Form:
P3P:CP="NOI DSP CURa ADMa DEVa TAIa OUR BUS IND UNI COM NAV INT", policy="URI", policyref="URI"

Was jahrelang in Domino unmöglich war, geht in ND6 angeblich mit "Web Site Rules"
Ab und zu kommt dann sogar auch mal eine Header Information von Domino.

Mit dem W3C Validator kann man das ganze dann auf Korrektheit prüfen:
http://www.w3.org/P3P/validator.html

Der "sagt" fine, alles ok.


Trotz alledem - nix funktionert.
Der IE zeigt weiterhin in der Statuszeile seine rote Datenschutzkeule an und sperrt weiterhin die Cookies. Kein Einloggen möglich. Der Browser findet sogar den Datenschutzbericht und befindet den als ok - aber das Problem besteht weiter.
Es ist zum Mäusemelken...

Wer hat mit so etwas Erfahrung ??
HAT DAS JEMAND SCHON MAL HINBEKOMMEN ??

Gruß,
Uwe

[datenbanken24]

Jetzt lautet die Frage:
WIE BEKOMMT MAN EINEN P3P CP EINTRAG IN DEN HTTP-HEADER BEIM DOMINO LOGIN

Problemtitel:
Domino mit Session Authentication als Drittanbieter

Fakt ist:
Domino mit Session based authentication setzt einen session cookie während der Authentifizierung. Dieser wird vom MS IE6 in den Standardeinstellungen von Drittanbietern abgelehnt.

Fakt ist:
Man braucht eine P3P CP (COMPACT POLICY) im HTTP-Header,
um als Drittanbieter im MS IE6 einen Cookie setzen zu dürfen.
Bei Drittanbietern wird nicht das p3p-File gelesen, sondern NUR die CP !

Die Policy, die Referenzierungen und die CP des Servers sind einwandfrei.
Dies bekommt man über den P3P-Validator und den MS Datenschutzbericht eindeutig raus.

Fakt ist
Für alle mit Domino selbst generierten Seiten kann man mit dem
@SetHTTP-Header einen Header-Eintrag schreiben, z.B.
P3P: CP="NOI DSP CURa ADMa DEVa TAIa OUR BUS IND UNI COM NAV INT",
policy="/w3c/policy.p3p#manetu", policyref="/w3c/p3p.xml"

Dieser Header wird perfekt ausgelesen und akzeptiert.
Man kann also nun als Drittanbieter Cookies setzen - auf jeder beliebigen Domino-Seite -
NUR DER DOMINO-SERVER BEIM LOGIN HAT KEINE CP...

Den HTTP-Header kann man ausgeben,
auf der Startseite der Datenbank, die das Login anfordert
und in der "domcfg.nsf/UserLoginForm", usw.
Auch wenn man "server/names.nsf?login"
direkt anspricht, ist die Compact Policy ok.


DAS PROBLEM IST:
Der Cookie, den der Domino Server selber setzt,
bzw. setzen möchte während des Logins.
Beim Setzen genau dieses Cookies nach dem  Post der Loginmaske (HTTP-Header Set-Cookie) bekommt man in den HTTP-Header KEINEN P3P-CP und deswegen wird genau dieser Cookie vom Explorer abgelehnt.

Da wird auch kein eigentliches Element aufgerufen.
Wenn man beim Setzen des Cookies nachschaut, welche Seite nun wirklich den Cookie setzen möchte,
steht da der Server-Root,
also Path =/

Set-Cookie: DomAuthSessId=7A2ABB8B9E8DFB47A78AA4C27E4D3BEE; path=/

und das scheint das Problem zu sein.
Eine index.html oder eine Homepage-URL helfen auch nichts.


Den HTTP-Header in einer index.html über den HTML-Header zu setzen a la:
<META HTTP-EQUIV="P3P" content="CP='NOI DSP CURa ADMa DEVa TAIa OUR BUS IND UNI COM NAV INT ' ">
geht auch nicht.

Wie bekommt man nur einen HTTP-Header in den Domino Server?
(wir nutzen server config docs, keine web site documente)

Seit Wochen am Verzweifeln,
Uwe

[datenbanken24]

Vielleicht wird irgendwann jemand auf das gleiche Problem stoßen,
ist ja der Sinn eines Forums.
Deshalb hier nun letzendlich die Lösung:

Wenn man Webserver Config Docs nutzt,
und einen (P3P) HTTP Header Eintrag beim Domino Login setzen muß,
kann man das Problem (nur) lösen
über einen DSAPI-Filter, den man in den Webserver einbinden bzw einladen muß.

Damit funktionierts.

Ende des Monologs.