The good thing about standards is that there are so many to choose from. — Andrew Tanenbaum
Und dieser Tage zeigt sich, dass Standards noch mehr ‘gute Seiten’ haben. Der eigentlich schon im Staub der Geschichte versunkene P3P Standard zum Beispiel macht gerade Schlagzeilen, und zwar als Randfigur in einer Auseinandersetzung zwischen Apple und Google in der es um Privatsphäre im Internet geht. Google hält sich nämlich nicht ganz wörtlich an den P3P Standard. Microsoft wittert deshalb Morgenluft und zerrt den Fall als Begründung ans Tageslicht, warum auch ihr Web-Browser eigentlich private Kundendaten an Google heraus gibt.
Dieser Twist von Microsoft ist zwar technisch fraglich, ich möchte ihn aber trotzdem zum Anlass nehmen, etwas mehr Licht auf ein tiefer liegendes Problem zu werfen. Für mich sind solche Standards und Spezifikationen nämlich Macbeth-Spezifikationen:
None of woman born shall harm Macbeth. — William Shakespeare
Und wer das Stück kennt weiß, die Prophezeiung der drei Hexen ist völlig korrekt. Der Königsmörder Macbeth hätte halt nur prüfen müssen, ob unter den möglichen Rächern seiner Tat jemand ist, bei dem Geburtshilfe mittels Kaiserschnitt geleistet wurde. Letzteres gehe ja wohl klar aus der Spezifikation bzw. Prophezeiung hervor — würde zumindest ein guter Anwalt vor Gericht behaupten, wenn er seinen Mandanten anders nicht mehr retten kann. Und um nichts anderes handelt es sich meiner Meinung bei den Erklärungen von Microsoft.
Dabei stört mich in der aktuellen Diskussion weniger der Versuch von Microsoft, seine Haut zu retten und einem Konkurrenten dabei auch noch eins auswischen zu können. Für viel gefährlicher halte ich die Grundeinstellung, die dahinter steht:
The details of privacy are complex, and the P3P standard is complex as well. — Microsoft’s IE Team
Klar ist Privatsphäre technisch schwer zu beschreiben. Aber dieser Standard ist Macbeth’sch! Das ist etwas ganz anderes als nur komplex zu sein. Quantenphysik ist komplex. Wer die Mathematik dahinter kennt, weiß dass man das fast wörtlich nehmen kann. Sie muss aber nicht kompliziert sein, und vor allem nicht Macbeth’sch!
The P3P specification [..] states that browsers should ignore any undefined policies they encounter. — Microsoft’s IE Team
Dabei ist der ganze Sinn von P3P, Web-Sites zu verpflichten, alle möglichen Verletzungen der Privatsphäre ihren Lesern und Kunden anzuzeigen. Dieser Ansatz ist ja an sich schon eines Fools’ Day Standards wie dem Evil Bit RFC würdig. Macht man sich aber noch mal klar was das in der Praxis heißt, übertrifft das sogar die Brillanz des Evil Bits: Stellen Sie sich vor, Sie finden auf der Strasse ein Pillendöschen unbekannten Inhalts. Dabei liegt ein Beipackzettel in einer Ihnen unbekannten Sprache. Der P3P Standard sagt dann, dass Sie die Pillen unbesorgt schlucken können, denn Sie haben ja nichts Gegenteiliges lesen können. “No machine of woman born shall sniff your private data.” Da fühlt man sich doch sicher!