Mozilla ha cambiato il modo in cui genera l'intestazione HTTP Referer in Firefox 87, il cui rilascio è previsto per domani. Per bloccare potenziali fughe di dati riservati, per impostazione predefinita durante la navigazione verso altri siti, l'intestazione HTTP Referer non includerà l'URL completo della fonte da cui è stata effettuata la transizione, ma solo il dominio. Il percorso e i parametri della richiesta verranno eliminati. Quelli. invece di "Referer: https://www.example.com/path/?arguments", verrà inviato "Referer: https://www.example.com/". A partire da Firefox 59, questa pulizia veniva effettuata in modalità di navigazione privata e ora verrà estesa alla modalità principale.
Il nuovo comportamento aiuterà a prevenire il trasferimento di dati utente non necessari a reti pubblicitarie e altre risorse esterne. Ad esempio, vengono citati alcuni siti medici che visualizzano messaggi pubblicitari dai quali terzi possono ottenere informazioni riservate, come l'età e la diagnosi del paziente. Allo stesso tempo, la rimozione dei dettagli dal Referer potrebbe influire negativamente sulla raccolta di statistiche sulle transizioni da parte dei proprietari dei siti, che ora non saranno in grado di determinare con precisione l'indirizzo della pagina precedente, ad esempio, per capire quale articolo è stata effettuata la transizione da. Potrebbe anche interrompere il funzionamento di alcuni sistemi di generazione dinamica di contenuti che analizzano le chiavi che hanno portato alla transizione dal motore di ricerca.
Per controllare l'impostazione del Referer, viene fornita l'intestazione HTTP Referrer-Policy, con la quale i proprietari del sito possono sovrascrivere il comportamento predefinito per le transizioni dal proprio sito e restituire le informazioni complete al Referer. Attualmente, la policy predefinita è "no-referrer-when-downgrade", in cui il Referer non viene inviato durante il downgrade da HTTPS a HTTP, ma viene inviato in forma completa durante il download di risorse su HTTPS. A partire da Firefox 87 entrerà in vigore la policy “strict-origin-when-cross-origin”, che significa eliminare percorsi e parametri quando si invia una richiesta ad altri host quando si accede tramite HTTPS, rimuovere il Referer quando si passa da HTTPS a HTTP e passaggio del Referer completo per le transizioni interne all'interno di un sito.
La modifica si applicherà alle normali richieste di navigazione (seguire i link), ai reindirizzamenti automatici e al caricamento di risorse esterne (immagini, CSS, script). In Chrome, il passaggio predefinito a "strict-origin-when-cross-origin" è stato implementato l'estate scorsa.
Fonte: opennet.ru