|
A P3P Compliance Test Suite (S)Status: AbgeschlossenDas "Platform for Privacy Preferences (P3P)" Projekt am World Wide Web Consortium ist ein Standard zum Austausch von maschinenlesbaren DatenschutzRichtlinien (privacy policies), welcher Web Sites und Browsern ermöglicht, dem Benutzer eine klare Überischt über die Verwendung personenbezogener Informationen beim Bezug einer bestimmten Web Resource (z.B. einer HTML Seite) zu liefern. Nach der letzten Überarbeitung des Standards im September 2001 sind nun nach und nach die ersten Implementationen verfügbar. Diese werden, je nach deren Übereinstimmung mit den "requirements" der Spezifikation, in drei verschiedene "compliance-level" eingeteilt: "fully compliant", "conditionally compliant" und "not compliant". Die requirements sind dabei nach dem Grad ihrer Wichtigkeit abgestuft in "MUST/MUST NOT", "SHOULD/ SHOULD NOT", und "MAY/MAY NOT". "Fully compliant" sind all jene Implementationen, die alle "MUST" bzw. "MUST NOT" requirements, sowie alle "SHOULD" und "SHOULD NOT" requirements befolgen. Sobald eine Implementation mindestens ein "SHOULD" bzw. "SHOULD NOT" requirement missachtet, gilt sie lediglich als "conditionally compliant". Implementationen, die mindestens ein "MUST" bzw. "MUST NOT" requirement nicht befolgen, gelten als "not compliant". "MAY" bzw. "MAY NOT" requirements haben keinen Einfluss auf den Grad der compliance. Bei über 150 "MUST" bzw. "SHOULD" requirements ist demnach die genaue Einteilung in "fully" oder "conditionally compliant" eine zeitaufwendige und oftmals fehleranfällige Sache. Bisher fehlt nämlich eine automatische bzw. halb-automatische Methode, um Implementation auf deren compliance hin zu testen. Ziel der Semesterarbeit ist es, ein solches automatisches Compliance-Testing Verfahren zu entwickeln und prototypisch zu implementieren. Die Implementation soll dabei im Rahmen einer als Open-Source verfügbaren P3P Implementation erfolgen. Zwei Projekte kommen hierfür in Frage: Zum einen die "P4PP" (Platform for Privacy Preferences Project) Library, welche eine erste Implementation der P3P Spezifikation (zusammen mit der darauf aufbauenden APPEL Spezifikation) in Java darstellt, welche im Sommer 2001 an der Universtät Kiel entwickelt wurde [http://www.p4pp.org/]. Zum anderen existiert das von der EU durchgeführte JRC-P3P Projekt (Joint Research Centre - eine Forschungseinrichtung der Europäischen Union), welches ebenfalls eine auf Java basierende P3P- und APPEL-Library als Open-Source bereitstellt [http://dsa-isis.jrc.it/Privacy/p3p/]. Im Rahmen des JRC-P3P Projektes ist ebenfalls eine Reihe von Web Seiten zwecks Compliance-Testing entstanden, die eine gute Grundlage für die Test-Umgebung darstellen. Durch das Erweitern eines dieser Projekte um ein Compliance Testing Skript sollen sowohl der genaue Grad der Übereinstimmung der aktuellen Implementation mit der Spezifikation transparent gemacht werden, als auch die Zuverlässigkeit späterer Updates verbessert werden. Student/Bearbeitet von: Nathalie KocherContact/Ansprechpartner: Marc Langheinrich |
  |
