Mozilla hat die Methode zur Bildung des HTTP-Referer-Headers in der für morgen geplanten Version Firefox 87 geändert. Um potenzielle Lecks vertraulicher Daten zu blockieren, wird der HTTP-Referer-Header standardmäßig beim Besuch anderer Websites nicht die vollständige URL des Ursprungs, von dem der Besuch aus erfolgte, sondern nur die Domain enthalten. Der Pfad und die Abfrageparameter werden entfernt. Das heißt, statt "Referer: https://www.example.com/pfad/?argumente" wird "Referer: https://www.example.com/" übermittelt. Seit Firefox 59 wurde eine solche Bereinigung im privaten Modus durchgeführt, und nun wird sie auch auf den regulären Modus ausgeweitet.
Das neue Verhalten trägt dazu bei, die Übertragung unnötiger Benutzerdaten an Werbenetzwerke und andere externe Ressourcen zu verhindern. Beispielsweise gibt es einige medizinische Websites, auf denen Dritte während der Anzeige von Werbung vertrauliche Informationen erhalten können, wie etwa das Alter und die Diagnose des Patienten. Das Entfernen von Details aus dem Referer kann jedoch die Statistiksammlung der Websitebetreiber negativ beeinflussen, die nun nicht mehr genau feststellen können, von welcher Seite der vorherige Besuch kam, etwa um zu verstehen, von welchem Artikel der Übergang erfolgte. Zudem könnte die Funktionsweise einiger dynamischer Content-Generierungssysteme beeinträchtigt werden, die die Schlüssel analysieren, die zu ihrem Übergang aus der Suchmaschine führten.
Um die Referer-Übermittlung zu steuern, gibt es den HTTP-Header Referrer-Policy. Dieser ermöglicht es Website-Besitzern, das standardmäßige Verhalten für Übergänge von ihrer Website zu ändern und die vollständigen Informationen im Referer zurückzugeben. Derzeit gilt standardmäßig die Richtlinie „no-referrer-when-downgrade“, die besagt, dass der Referer bei einem Wechsel von HTTPS zu HTTP nicht gesendet wird, aber in voller Form bei der Lade von Ressourcen über HTTPS. Ab Firefox 87 wird die Politik „strict-origin-when-cross-origin“ in Kraft treten, die das Entfernen von Pfaden und Parametern bei Anfragen an andere Hosts über HTTPS beinhaltet, die Entfernung des Referer beim Wechsel von HTTPS zu HTTP und die Übermittlung des vollständigen Referers für interne Übergänge innerhalb einer Website.
Die Änderung wird für normale Navigationsanfragen (Link-Klicks), automatische Weiterleitungen und beim Laden externer Ressourcen (Bilder, CSS, Skripte) wirksam. In Chrome wurde der Wechsel zu „strict-origin-when-cross-origin“ im vergangenen Sommer vollzogen.
Quelle: opennet.ru
