Mozilla, yarın piyasaya sürülmesi planlanan Firefox 87'deki HTTP Yönlendiren başlığını oluşturma biçimini değiştirdi. Gizli verilerin olası sızıntılarını engellemek için, varsayılan olarak, diğer sitelere giderken Yönlendiren HTTP üstbilgisi, geçişin yapıldığı kaynağın tam URL'sini değil, yalnızca etki alanını içerecektir. Yol ve istek parametreleri kesilecektir. Onlar. “Yönlendiren: https://www.example.com/path/?arguments” yerine “Yönlendiren: https://www.example.com/” gönderilecektir. Firefox 59'dan itibaren bu temizleme işlemi özel tarama modunda yapıldı ve artık ana moda kadar genişletilecek.
Yeni davranış, gereksiz kullanıcı verilerinin reklam ağlarına ve diğer dış kaynaklara aktarılmasının önlenmesine yardımcı olacak. Örnek olarak, üçüncü tarafların hastanın yaşı, tanısı gibi gizli bilgileri edinebileceği reklamların görüntülenmesi sürecinde bazı tıbbi siteler verilmiştir. Aynı zamanda, Yönlendiren'den ayrıntıların kaldırılması, örneğin geçişin hangi makaleye yapıldığını anlamak için artık önceki sayfanın adresini doğru bir şekilde belirleyemeyecek olan site sahiplerinin geçişlerle ilgili istatistiklerin toplanmasını olumsuz etkileyebilir. itibaren. Ayrıca arama motorundan geçişe yol açan anahtarları ayrıştıran bazı dinamik içerik üretme sistemlerinin çalışmasını da bozabilir.
Yönlendiren ayarını kontrol etmek için, site sahiplerinin kendi sitelerinden geçişler için varsayılan davranışı geçersiz kılabileceği ve tüm bilgileri Yönlendirene geri gönderebileceği Yönlendiren Politikası HTTP başlığı sağlanır. Şu anda, varsayılan politika "düşürme sırasında yönlendiren yok" şeklindedir; burada Yönlendiren, HTTPS'den HTTP'ye sürüm düşürülürken gönderilmez, ancak kaynaklar HTTPS üzerinden indirilirken tam biçimde gönderilir. Firefox 87'den başlayarak, "cross-origin olduğunda katı köken" politikası yürürlüğe girecek; bu, HTTPS yoluyla erişirken diğer ana bilgisayarlara istek gönderirken yolların ve parametrelerin kesilmesi, HTTPS'den HTTPS'ye geçiş sırasında Yönlendirenin kaldırılması anlamına geliyor. HTTP ve tek bir site içindeki dahili geçişler için Yönlendiricinin tamamının iletilmesi.
Değişiklik normal gezinme istekleri (aşağıdaki bağlantılar), otomatik yönlendirmeler ve harici kaynaklar (resimler, CSS, komut dosyaları) yüklenirken geçerli olacaktır. Chrome'da, varsayılan olarak "strict-origin-when-cross-origin" ayarına geçiş geçen yaz uygulandı.
Kaynak: opennet.ru