The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В приватном режиме Firefox 59 будет вырезаться содержательная часть HTTP Referrer

03.02.2018 21:41

Разработчики Firefox намерены включить в следующем выпуске защиту от утечки информации через заголовок HTTP Referer. В приватном режиме при обращении к внешнему ресурсу в заголовке HTTP Referer теперь будет передаваться только имя хоста, а путь и все параметры запроса будут вырезаны. Т.е. вместо "Referer: https://www.example.com/путь/?аргументы" будет передан "Referer: https://www.example.com/".

Подобное поведение поможет предотвратить передачу лишних данных о пользователе рекламным сетям и прочим внешним ресурсам. В качестве примера приводятся некоторые медицинские сайты, в процессе показа рекламы на которых третьи лица могут получить сведения конфиденциального характера, такие как возраст и поставленный пациенту диагноз. Пока очистка HTTP Referrer производится только в приватном режиме, так как передаваемый через данный заголовок полный адрес предыдущей страницы востребован владельцами сайтов для анализа источников трафика и разбора фраз, которые привели к переходу с поисковой системы.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: HTML 5.2 получил статус рекомендованного стандарта
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: mozilla, firefox, referrer
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (68) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:53, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Вообще-то сайты которые конфеденциальные данные через GET, а не POST передают сами себе буратины, зачем под них прогибаться? Какой смысл рекламным сетям, что то выдергивать через Referrer, когда в подавляющем большинстве случаев они выполняют свой JavaScript-код в контексте тех страниц и могут куда больше вытянуть информации, например из тех же заполненных форм данные выдернуть.
     
     
  • 2.11, kai3341 (ok), 22:57, 03/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Каким образом конфеденциальные данные связаны с HTTP-заголовком Referrer?
     
     
  • 3.14, echo_donbasskih_podzemok (?), 23:15, 03/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Очень просто: через украденные базы мед. заведений диагноз может быть связан с конкретной личностью внутри DMP/DSP.
    Текущее законодательство в плане приватности (в т.ч. международное) вовсе не запрещает так делать.
     
     
  • 4.16, kai3341 (ok), 23:30, 03/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Складывается впечатление, что вместо того, чтобы читать новость, вы ухватили ключевые слова и пытаетесь делать вывод. Какие к чёрту украденные БД?
     
     
  • 5.44, Вася Пупкин (?), 14:14, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это бот, он учится и генерит фразы по ключевым словам.
     
     
  • 6.50, ыпр (?), 16:00, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Откуда столько инфы о боте? Не ваш ли бот случаем?;)
     
  • 3.27, GG (ok), 01:47, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Действительно, как

    Здравствуйте, Вася Пупкин!
    Результаты ваших анализов готовы, вы можете прочитать их по ссылке:
    http://meditsinsky.sajt/client/vasya_pupkin/diagnozi/04-02-2018/gonoreja?utm_

     
     
  • 4.30, kai3341 (ok), 02:43, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вы почти правы.

    Пользователя беспокоит, допустим, лурчанка. Он нашёл в интернете соответствующую статью и начал читать. Всё классно.

    Сайт использует внешние js-библиотеки и внешний css. В момент открытия страницы браузер загружает с внешнего ресурса js и css, а в Referrer у него URL статьи про его страшную болезнь.

    На внешнем ресурсе статика раздаётся средствами NGINX с достаточно параноидальными настройкам логгирования.

    Вот так в третьих руках может оказывается информация о том, что вы болеете лурчанкой.

    На странице могут оказаться счётчики аналитики, виджеты социальных сетей и прочие радости

     
     
  • 5.45, Аноним (-), 14:14, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > В момент открытия страницы браузер загружает с внешнего ресурса js и css

    Браузер по умолчанию - Links v2.14. Какие еще js и css???

     
     
  • 6.61, DmA (??), 09:22, 05/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    referrer то у linksa есть! и картинки он умеет грузить с чужих сайтов-то!
    Так что подвержен!
     
     
  • 7.68, Аноним (-), 16:17, 06/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > referrer то у linksa есть!

    Можно как-то подшаманить Links для отключения этого функционала? В Links вроде же есть какая-то функция типа "$ links2 -anonymous"

    > и картинки он умеет грузить с чужих сайтов-то!

    А картинки здесь при чём? Кроме того, картинки отключены по дефолту.

     
     
  • 8.69, Аноним (-), 12:45, 07/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Нету, зато в w3m есть штатный referer suppression, так что он на порядок лучше ... текст свёрнут, показать
     
  • 3.57, DmA (??), 06:52, 05/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    например друг выложил вам ссылку с котиками на странице в контакте и вы щёлкнули по ней, и вот владелец сайта с котиками с точностью до аккаунта в вашей соцсети знает кто к нему зашёл и с какого ip. Далее этот ip и ваш интерес с котику передаётся сборщикам по слежке и рекламным компаниям(обычно через загрузку незначительных элементов с сайтов этих компаний). Далее через этот ip и строку useragent (и другие элементы отпечатка вашего браузера) отслеживается когда и где вы ходите.
     
  • 3.60, Шумер (?), 08:48, 05/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Еще по рефереру можно узнать какую порнуху ты смотрел
     

  • 1.2, Аноним (-), 21:56, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вспоминается ситуация со Сбербанком и показом на внутренних страницах кода Yandex Metric и Google Analytic. Или засовывание интерактивных виджетов FB, Twitter и VK в личных кабинетах.
     
  • 1.3, Аноним (-), 22:06, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А сейчас на 58 версии в about:config это можно включить?
     
     
  • 2.7, Аноним (-), 22:24, 03/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Давно можно ещё в чёрт знает какой лохматой версии.
     
  • 2.33, Аноним (-), 04:55, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И в ранних версиях можно, с 52 https feeding cloud geek nz posts tweaking-ref... текст свёрнут, показать
     
  • 2.58, Анон2 (?), 08:39, 05/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю, со всеми этими настроками в эбаут конфиг я стану еще более заметным в  интернете, т к настройки крутит 1% от 1% от 1% что вообще заходят на _этот_сайт_
     
  • 2.64, Внезапно (?), 18:37, 05/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас можно поставить какой-нибудь блокировщик рекламы и какой был реферер у не отправленного запроса по барабану.
    Но в Мозилле уже начали с этим бороться.
    Вот для примера у меня:
    Ставишь 58 FF. Ublock Origin в него.
    Идешь для примера сюда : https://mozilla.github.io/arewefastyet-speedometer/2.0/
    смотришь попугаи.
    Ставишь 59 бету.
    Попугаев в 2-3 раза меньше.
    Отключаешь uBlock. Попугаи вернулись.
     

  • 1.4, QroxZ (?), 22:07, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Уже не верю словам разработчика Firefox. То зонды встраивают, то лепят мнимую защиту.
     
     
  • 2.26, Vadu (?), 01:46, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    И вроде хочется согласиться, но аналогов все-равно нет. Есть какие-то фанатские поделки, на которых сидит 1.5 анонимуса, но без слез на это не взглянешь, да и поддержки всех нужных аддонов нет.
     
     
  • 3.39, 1.5 анонимуса (?), 11:28, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > да и поддержки всех нужных аддонов нет.

    у вас уже никаких аддонов нет, кроме пары хромающих на все лапы неполноценных клонов умерших xul-версий, а вы все повторяете сказки, что у других браузеров "нет поддержки".

     
     
  • 4.48, Ivan_83 (ok), 15:41, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    waterfox, palemoon - всё ещё есть.
     
     
  • 5.54, Игорь (??), 01:11, 05/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Icecat форк firefox отличный браузер.
     
  • 3.65, Аноним (-), 22:55, 05/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть какие-то фанатские поделки, на которых сидит 1.5 анонимуса...
    > да и поддержки всех нужных аддонов нет.

    Ты не поверишь, но выбрав "фанатскую поделку, на которой сидит 1.5 анонимуса", я получил поддержку всех нужных мне аддонов.

    > ...но без слез на это не взглянешь...

    Да ты не плачь. Это фигня, что без аддонов, зато у тебя все супер-мега-быстро теперь.

     

  • 1.5, Добрый любитель булок. (?), 22:12, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Использую Pure Url
     
     
  • 2.10, kai3341 (ok), 22:55, 03/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И как Pure URL поможет удалить HTTP-заголовок Referrer?
     

  • 1.6, Аноним (-), 22:23, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А сайты в ответ: "юзай хром или иди на ***". Посещать такие сайты - это себя не уважать. Но ведь большинство-то себя не уважает, так что файрфоксупесец.
     
     
  • 2.66, Grammar (?), 08:19, 06/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    По моему даже опеннет требует реферер.
     

  • 1.8, Аноним (-), 22:44, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    about:config
    network.http.sendRefererHeader   0
    одно из многих .... сразу после установки Firefox
     
     
  • 2.13, QroxZ (?), 23:15, 03/02/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Многие сайты не будут корректно работать.
     
     
  • 3.19, Аноним (-), 23:46, 03/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Многие сайты не будут корректно работать.

    Зачем им это нужно?

     
     
  • 4.40, Аноним (-), 13:14, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Издревле повелось отключать отдачу картинок, если в Referrer чужой домен (чтобы на чужие сайты не вставляли). Есть вероятность, что при отсутствующем заголовке тоже не отдадут. Причём могут не только картинки, а вообще всю статику.
     
  • 3.62, DmA (??), 09:24, 05/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Многие сайты не будут корректно работать.

    на фиг такие сайты.. Но вот правда комментарии на опеннет не будут работать...

     
  • 2.15, 353 (?), 23:19, 03/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    для полноты картины надо так:
    "network.http.referer.XOriginPolicy", 2
    "network.http.referer.spoofSource", true
    "network.http.referer.trimmingPolicy", 2
    "network.http.sendRefererHeader", 0
     
     
  • 3.41, Аноним (-), 13:19, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > для полноты картины надо так:
    > "network.http.referer.XOriginPolicy", 2
    > "network.http.referer.spoofSource", true
    > "network.http.referer.trimmingPolicy", 2
    > "network.http.sendRefererHeader", 0

    Для полноты картины смыть краску растворителем, заново загрунтовать холст, нарисовать что-то совсем другое, замазать чёрной краской, после чего сжечь и пепел развеять по ветру. Примерно так это будет работать.

     
  • 2.17, Аноним (-), 23:40, 03/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сайты ломаются.


    Forbidden (403)

    CSRF verification failed. Request aborted.

    You are seeing this message because this HTTPS site requires a 'Referer header' to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.

    If you have configured your browser to disable 'Referer' headers, please re-enable them, at least for this site, or for HTTPS connections, or for 'same-origin' requests.

     
     
  • 3.25, kai3341 (ok), 01:34, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да. Грамотно спроектированный сайт должен ломаться во избежание XSS
     
     
  • 4.28, kai3341 (ok), 01:52, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Да-да. Грамотно спроектированный сайт должен ломаться во избежание XSS

    100 пудов, местные эксперты не поймут. Объясняю.

    Проще всего обработать на стороне сервера вообще любой запрос. Теперь ситуация: интернет-банкинг. Вы залогинились в личный кабинет, сайт выслал вашему браузеру cookies, и теперь при открытии этого сайта в новой вкладке вы оказываетесь залогиненными. Удобно.

    В другой вкладке вы открыли сайт с котиками. Тоже классно: котики -- движущая сила развития интернета: пользователь хочет, чтобы котики грузились быстрее. Пока всё прекрасно.

    Так или иначе, но на сайте с котиками оказался вредоносный код. Не исключено, что сам вредоносный код оказался даже не на самом сайте. Не суть, как он туда попал.

    Вредоносный код посылает на сайт вашего банка сперва GET-запрос с вашими cookies и получает данные о том, сколько денег на вашем счёта, и следом POST-запрос (возможно, несколько), переводящий деньги с вашего счёта на счёт некоего Василия Пупкина.

    Проблема в том, что в HTTP-заголовке Referrer запроса к сайту вашего банка во 2м случае вовсе не адрес сайта вашего банка.

     
     
  • 5.29, Аноним (-), 02:20, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    1 чужой сайт без флеша и явы эти данные не получит. А с флешом или явой - ссзб.
    2 токены csrf и рефереры тут ни при чём.
     
     
  • 6.31, kai3341 (ok), 02:50, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    1) Причём тут flash и java?
    2) Когда вредоносный код успешно выполняет GET-запрос, он получает в теле ответа CSRF-токен.
     
     
  • 7.52, Аноним (-), 19:16, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    2) Он ничего не получает - same origin policy.
    1) с помощью них её можно было обойти.
     
  • 5.38, mumu (ok), 09:39, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Я может в танке, но разве CSP+HttpOnly эту проблему не решает? Ведь кука идёт по https каналу, как третий сайт через него что-то там пошлёт?
     
     
  • 6.43, kai3341 (ok), 14:03, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Про механизм CSP не знал. Спасибо, вникаю.

    Кажется, понял. CSP не позволит внешнему коду использовать cookies этого сайта. Очень хорошо: GET-запрос тоже выполнить не удастся. Вроде бы решает

    Однако ИМХО поодиночке защитные механизмы использовать глупо: поодиночке их можно поиметь. Только CSRF-токен можно обойти, предварительно выполнив GET-запрос. Referrer есть смысл использовать только на POST-запросах, так как блокировать GET-запросы несколько странно.

    Что до CSP -- пока не знаю. Выглядит, словно серебряная пуля.

     
  • 5.51, Аноним (-), 18:53, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Куки слать в письме не удобно, удобно слать уникальный токен по времени входа.

    Пароли и логины не должны быть в куках только токены безопасности которые действуют уникально.

     
  • 5.56, Аноним (-), 03:12, 05/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Для Инет-банкинга надо пользоваться отдельным профилем.
     
  • 5.59, Анон2 (?), 08:45, 05/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Таки что мешает злобным коитам менять реферел в запросе? Браузер же может. Да и котики должны быть изолированы от банка и не знать что тот вообще открыт.

     
  • 3.42, Аноним (-), 13:26, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Сайты ломаются.

    network.http.referer.XOriginPolicy=1 вместо предложенного выше будет вполне приемлемым компромиссом, и ничего ломать не должно.

    А вообще много интересного можно почитать тут: https://wiki.mozilla.org/Security/Referrer

     
  • 2.18, Аноним (-), 23:45, 03/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Почему это сразу в мозилле не сделали? Эта опция что-то ломает или есть другие причины?
     
     
  • 3.20, Аноним (-), 23:55, 03/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ломает. Выше ответили.
     
     
  • 4.21, Аноним (-), 00:08, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Можно сделать сайт не требующий эту телеметрию.
     
     
  • 5.24, kai3341 (ok), 01:25, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это не (только) телеметрия. Тоже читаем "CORS и XSS для самых маленьких. С картинками"
     
     
  • 6.46, Аноним (-), 14:27, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ты, я смотрю, недавно прочитал и полон впечатлений?
     
  • 6.55, имя (?), 03:08, 05/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >CORS и XSS для самых маленьких. С картинками

    я даже погуглил в надежде, лол.

     
  • 3.63, DmA (??), 09:26, 05/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему это сразу в мозилле не сделали? Эта опция что-то ломает или
    > есть другие причины?

    Ломает (например) возможность комментарить на этом сайте

     

  • 1.9, th3m3 (ok), 22:50, 03/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я давно что-то такое уже включал. Дак тогда у меня opennet ломался, при отправке комментов.
     
     
  • 2.12, kai3341 (ok), 22:58, 03/02/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Читайте "CORS и XSS для самых маленьких"
     

  • 1.22, Аноним (-), 00:14, 04/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Privoxy наше все! Без него в инет вообще не хожу.
     
     
  • 2.23, kai3341 (ok), 01:19, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И как Privoxy поможет удалить HTTP-заголовок Referrer?
     

  • 1.34, Аноним (-), 05:51, 04/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Всегда перехожу на другие сайты с новых вкладок. И вам также советую поступать.
     
     
  • 2.35, Аноним (-), 06:34, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Первоочерёдная проблема рефереров не в переходах на другие страницы, а в загрузк... текст свёрнут, показать
     
     
  • 3.36, Аноним (-), 07:01, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Привет сливу всей истории сёрфа по сайту гуглу.

    А ещё твиттеру и bootstapcdn.

     
  • 3.37, Аноним (-), 07:01, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    До Сноудена я ещё один "вывел" аргумент.
    Когда человек говорит - Зачем мне скрываться - кому я нужен, что дело не в одном тебе, а именно в количестве таких как ты.

     

  • 1.47, Аноним (-), 14:45, 04/02/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как в Pale Moon обстоят дела с вырезанием параметров заголовков HTTP Referer?
     
     
  • 2.49, Ivan_83 (ok), 15:44, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ставишь refer control и настраиваешь как тебе надо.
     
  • 2.53, Аноним (-), 23:33, 04/02/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Palemoon Commander > Security > Privacy, и крути, как хочешь.
    Или традиционно - через about:config.
     
     
  • 3.67, Аноним (-), 16:11, 06/02/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это проприетарное дополнение? https://www.palemoon.org/commander.shtml

    This add-on is supplied as COPYRIGHTED FREEWARE with disclosed source. Please see the Pale Moon Freeware License for details.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру