Mozilla hat die Form des HTTP-Referer-Headers in Firefox 87 geĂ€ndert, dessen Veröffentlichung fĂŒr morgen geplant ist. Um potenzielle Lecks vertraulicher Daten zu verhindern, enthĂ€lt der Referer-HTTP-Header beim Wechsel zu anderen Websites standardmĂ€Ăig nicht die vollstĂ€ndige URL der Quelle, von der der Wechsel erfolgte, sondern nur die Domain. Pfad- und Anforderungsparameter werden entfernt. Das heiĂt, statt âReferer: https://www.example.com/path/?argumentsâ lautet die Zeile âReferer: https://www.example.com/â. Seit Firefox 59 wurde diese Bereinigung im privaten Modus durchgefĂŒhrt und wird nun auch auf den Hauptmodus ausgeweitet.
Das neue Verhalten verhindert die unnötige Ăbertragung von Nutzerdaten an Werbenetzwerke und andere externe Ressourcen. Als Beispiel werden einige medizinische Websites genannt, auf denen Dritte wĂ€hrend der Anzeigenschaltung vertrauliche Informationen wie Alter und Diagnose des Patienten erhalten könnten. Gleichzeitig kann das Entfernen von Details aus dem Referrer die Erfassung von Statistiken ĂŒber Seitenwechsel durch Websitebesitzer beeintrĂ€chtigen, da diese nun die Adresse der vorherigen Seite nicht mehr genau bestimmen können, um beispielsweise zu verstehen, von welchem ââArtikel der Seitenwechsel stammt. Auch die Funktion einiger dynamischer Inhaltsgenerierungssysteme, die die SchlĂŒssel analysieren, die von der Suchmaschine zum Seitenwechsel gefĂŒhrt haben, kann beeintrĂ€chtigt werden.
Der HTTP-Header âReferrer-Policyâ dient zur Steuerung der Referrer-Einstellung. Dadurch können Websitebesitzer das Standardverhalten fĂŒr ĂbergĂ€nge von ihrer Website ĂŒberschreiben und die Angabe vollstĂ€ndiger Informationen im Referrer zurĂŒckgeben. Die aktuelle Standardrichtlinie lautet âno-referrer-when-downgradeâ. Dabei wird der Referrer beim Wechsel von HTTPS zu HTTP nicht gesendet, beim Laden von Ressourcen ĂŒber HTTPS jedoch vollstĂ€ndig ĂŒbertragen. Ab Firefox 87 gilt die Richtlinie âstrict-origin-when-cross-originâ. Dies bedeutet, dass Pfade und Parameter beim Senden einer Anfrage an andere Hosts beim Zugriff ĂŒber HTTPS gekĂŒrzt, der Referrer beim Wechsel von HTTPS zu HTTP entfernt und der vollstĂ€ndige Referrer fĂŒr interne ĂbergĂ€nge innerhalb einer Website ĂŒbertragen wird.
Die Ănderung betrifft regulĂ€re Navigationsanfragen (Link-Klicks), automatische Weiterleitungen und das Laden externer Ressourcen (Bilder, CSS, Skripte). Chrome ist im vergangenen Sommer standardmĂ€Ăig auf âstrict-origin-when-cross-originâ umgestiegen.
Source: opennet.ru
