Odchudzi HTTP Referrer żeby chronić prywatne dane.

Na czym będzie polegała zmiana?

Firefox 87 wprowadzi bardziej rygorystyczną i bardziej chroniącą prywatność domyślną politykę tzw. odsyłaczy. Od tej wersji Firefox będzie domyślnie przycinał informacje o ścieżce i ciągach zapytań query z nagłówków stron odsyłających, aby zapobiec przypadkowemu wyciekowi poufnych danych użytkownika z odsyłających witryn.

HTTP Referrer czyli Twoje dane w URLu

Przeglądarki wysyłają nagłówek HTTP Referrer (ciekawostka: oryginalna nazwa specyfikacji to „HTTP Referer”), aby zasygnalizować witrynie, która lokalizacja „odesłała” użytkownika do serwera tej witryny. Mówiąc dokładniej, przeglądarki tradycyjnie wysyłają pełny adres URL dokumentu odsyłającego (zazwyczaj adres URL z paska adresu) w nagłówku HTTP Referrer z praktycznie każdym żądaniem nawigacji czy pobrania jakiegoś zasobu ze strony (obrazu, stylu, skryptu). Witryny internetowe mogą wykorzystywać informacje o stronie odsyłającej do wielu całkowicie zrozumiałych zastosowań, w tym do analiz, rejestrowania lub optymalizacji pamięci podręcznej. Ale przecież nie muszą się do tego ograniczać.

Niestety, nagłówek HTTP Referrer często zawiera prywatne dane użytkownika: może ujawniać artykuły, które użytkownik czyta w odsyłającej witrynie, a nawet zawierać informacje o koncie użytkownika w witrynie.

Wprowadzenie Referrer Policy w przeglądarkach w latach 2016-2018 pozwoliło witrynom uzyskać większą kontrolę nad wartościami odsyłaczy w ich witrynie, a tym samym zapewniło mechanizm ochrony prywatności ich użytkowników. Jeśli jednak witryna nie ma żadnych zasad dotyczących stron odsyłających, przeglądarki internetowe tradycyjnie domyślnie stosują zasadę no-referrer-when-downgrade, która obcina adres strony odsyłającej podczas nawigowania do mniej bezpiecznego miejsca docelowego (np. gdy użytkownik przechodzi z https na http). Niestety poza takimi sytuacjami przeglądarki wysyłają pełny adres URL, w tym ścieżkę i informacje o zapytaniu o dokument źródłowy.

Sprawdź oferty pracy na TeamQuest

Nowa polityka dla rozwijającej się sieci

Zdaniem Mozilli polityka no-referrer-when-downgrade jest reliktem z przeszłości, kiedy uważano, że poufne przeglądanie sieci odbywa się za pośrednictwem połączeń HTTPS i jako takie nie powinno powodować wycieku informacji w żądaniach HTTP. Dzisiejszy Internet wygląda zupełnie inaczej: jest na dobrej drodze do tego, by w zasadzie wszystkie połączenia były po HTTPS, a twórcy przeglądarek zaczynają podejmować kroki w celu ograniczenia wycieku informacji między witrynami. Według twórców Firefoksa nadszedł czas, aby zmienić domyślną politykę przekierowań zgodnie z nową sytuacją.

Lepiej zapobiegać niż leczyć

Począwszy od przeglądarki Firefox 87 ustawiono domyślną zasadę referrali na strict-origin-when-cross-origin, która ograniczy poufne informacje użytkownika dostępne w adresie URL. Ta nowa, bardziej rygorystyczna polityka odsyłająca nie tylko ograniczy informacje w przypadku żądań przechodzących z HTTPS do HTTP, ale także ograniczy informacje o ścieżce i zapytaniach dla wszystkich żądań z innych źródeł. Dzięki tej aktualizacji Firefox zastosuje nową domyślną politykę odsyłaczy do wszystkich żądań nawigacji, żądań przekierowanych i żądań zasobów, zapewniając w ten sposób znacznie bardziej prywatne przeglądanie sieci.

Jeśli jesteś użytkownikiem przeglądarki Firefox, nie musisz nic robić, aby powitać tą zmianę. Gdy tylko Firefox automatycznie zaktualizuje się do wersji 87, nowe domyślne zasady będą obowiązywać dla każdej odwiedzanej witryny.

Wygląda na to, że Mozilla ma ostatnio coraz to nowsze pomysły na zapobieganie wyciekom prywatnych danych.