Mozilla zmenila spôsob, akým generuje hlavičku HTTP Referer vo Firefoxe 87, ktorého vydanie je naplánované na zajtra. S cieľom zablokovať potenciálne úniky dôverných údajov nebude hlavička Referer HTTP štandardne pri navigácii na iné stránky obsahovať úplnú adresu URL zdroja, z ktorého bol prechod vykonaný, ale iba doménu. Parametre cesty a požiadavky budú vyrezané. Tie. namiesto „Referer: https://www.example.com/path/?arguments“ sa odošle „Referer: https://www.example.com/“. Počnúc Firefoxom 59 sa toto čistenie vykonávalo v režime súkromného prehliadania a teraz sa rozšíri na hlavný režim.
Nové správanie pomôže zabrániť prenosu nepotrebných údajov používateľov do reklamných sietí a iných externých zdrojov. Ako príklad sú uvedené niektoré lekárske stránky v procese zobrazovania reklamy, na ktorých môžu tretie strany získať dôverné informácie, ako je vek a diagnóza pacienta. Odstránenie podrobností z Referenta môže zároveň negatívne ovplyvniť zhromažďovanie štatistík o prechodoch vlastníkmi stránok, ktorí teraz nebudú schopní presne určiť adresu predchádzajúcej stránky, napríklad aby pochopili, v ktorom článku bol prechod vykonaný. od. Môže to tiež narušiť činnosť niektorých systémov na generovanie dynamického obsahu, ktoré analyzujú kľúče, ktoré viedli k prechodu z vyhľadávacieho nástroja.
Na ovládanie nastavenia Referer je poskytnutá hlavička Referrer-Policy HTTP, pomocou ktorej môžu vlastníci lokality prepísať predvolené správanie pri prechodoch z ich lokality a vrátiť refererovi úplné informácie. V súčasnosti je predvolená politika „no-referrer-when-downgrade“, kde sa Referer neodošle pri prechode z HTTPS na HTTP, ale odošle sa v plnej forme pri sťahovaní zdrojov cez HTTPS. Počnúc Firefoxom 87 nadobudne účinnosť zásada „strict-origin-when-cross-origin“, čo znamená odstránenie ciest a parametrov pri odosielaní požiadavky iným hostiteľom pri prístupe cez HTTPS, odstránenie referera pri prechode z HTTPS na HTTP a odovzdanie úplného sprostredkovateľa pre interné prechody v rámci jednej lokality.
Zmena sa bude týkať bežných požiadaviek na navigáciu (nasledujúce odkazy), automatických presmerovaní a pri načítavaní externých zdrojov (obrázky, CSS, skripty). V prehliadači Chrome bol minulý rok v lete implementovaný predvolený prepínač na „strict-origin-when-cross-origin“.
Zdroj: opennet.ru