Разработчики Firefox намерены (https://blog.mozilla.org/security/2018/01/31/preventing-data.../) включить в следующем выпуске защиту от утечки информации через заголовок HTTP Referer. В приватном режиме при обращении к внешнему ресурсу в заголовке HTTP Referer теперь будет передаваться только имя хоста, а путь и все параметры запроса будут вырезаны. Т.е. вместо "Referer: https://www.
example.com/путь/?аргументы" будет передан "Referer: https://www.example.com/".
Подобное поведение поможет предотвратить передачу лишних данных о пользователе рекламным сетям и прочим внешним ресурсам. В качестве примера приводятся некоторые медицинские сайты, в процессе показа рекламы на которых третьи лица могут получить сведения конфиденциального характера, такие как возраст и поставленный пациенту диагноз. Пока очистка HTTP Referer производится только в приватном режиме, так как передаваемый через данный заголовок полный адрес предыдущей страницы востребован владельцами сайтов для анализа источников трафика и разбора фраз, которые привели к переходу с поисковой системы.URL: https://blog.mozilla.org/security/2018/01/31/preventing-data.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=48018
Вообще-то сайты которые конфеденциальные данные через GET, а не POST передают сами себе буратины, зачем под них прогибаться? Какой смысл рекламным сетям, что то выдергивать через Referrer, когда в подавляющем большинстве случаев они выполняют свой JavaScript-код в контексте тех страниц и могут куда больше вытянуть информации, например из тех же заполненных форм данные выдернуть.
Каким образом конфеденциальные данные связаны с HTTP-заголовком Referrer?
Очень просто: через украденные базы мед. заведений диагноз может быть связан с конкретной личностью внутри DMP/DSP.
Текущее законодательство в плане приватности (в т.ч. международное) вовсе не запрещает так делать.
Складывается впечатление, что вместо того, чтобы читать новость, вы ухватили ключевые слова и пытаетесь делать вывод. Какие к чёрту украденные БД?
Это бот, он учится и генерит фразы по ключевым словам.
Откуда столько инфы о боте? Не ваш ли бот случаем?;)
Действительно, какЗдравствуйте, Вася Пупкин!
Результаты ваших анализов готовы, вы можете прочитать их по ссылке:
http://meditsinsky.sajt/client/vasya_pupkin/diagnozi/04-02-2...
Вы почти правы.Пользователя беспокоит, допустим, лурчанка. Он нашёл в интернете соответствующую статью и начал читать. Всё классно.
Сайт использует внешние js-библиотеки и внешний css. В момент открытия страницы браузер загружает с внешнего ресурса js и css, а в Referrer у него URL статьи про его страшную болезнь.
На внешнем ресурсе статика раздаётся средствами NGINX с достаточно параноидальными настройкам логгирования.
Вот так в третьих руках может оказывается информация о том, что вы болеете лурчанкой.
На странице могут оказаться счётчики аналитики, виджеты социальных сетей и прочие радости
> В момент открытия страницы браузер загружает с внешнего ресурса js и cssБраузер по умолчанию - Links v2.14. Какие еще js и css???
referrer то у linksa есть! и картинки он умеет грузить с чужих сайтов-то!
Так что подвержен!
> referrer то у linksa есть!Можно как-то подшаманить Links для отключения этого функционала? В Links вроде же есть какая-то функция типа "$ links2 -anonymous"
> и картинки он умеет грузить с чужих сайтов-то!
А картинки здесь при чём? Кроме того, картинки отключены по дефолту.
Нету, зато в w3m есть штатный referer suppression, так что он на порядок лучше
например друг выложил вам ссылку с котиками на странице в контакте и вы щёлкнули по ней, и вот владелец сайта с котиками с точностью до аккаунта в вашей соцсети знает кто к нему зашёл и с какого ip. Далее этот ip и ваш интерес с котику передаётся сборщикам по слежке и рекламным компаниям(обычно через загрузку незначительных элементов с сайтов этих компаний). Далее через этот ip и строку useragent (и другие элементы отпечатка вашего браузера) отслеживается когда и где вы ходите.
Еще по рефереру можно узнать какую порнуху ты смотрел
Вспоминается ситуация со Сбербанком и показом на внутренних страницах кода Yandex Metric и Google Analytic. Или засовывание интерактивных виджетов FB, Twitter и VK в личных кабинетах.
А сейчас на 58 версии в about:config это можно включить?
Давно можно ещё в чёрт знает какой лохматой версии.
И в ранних версиях можно, с 52. https://feeding.cloud.geek.nz/posts/tweaking-referrer-for-pr.../
Но эти настройки не очень гибкие. У меня в ESR для профиля с легаси-расширением для картинко-сайтов не получилось обойтись без расширений. Ломался либо pixiv, либо санкаку ченнел. И ладно бы у них одинаковое поведение было, но один ломался от отсутствия заголовка, другой от спуфа. Пришлось туда старый добрый RefControl поставить.
На релизе (58) использую uMatrix со спуфом рефереров. Он, кстати, не ломает упомянутые выше сайты, т.к. результат немного отличается от тех вариантов, что можно сделать родными префами лисы, но с одной стороны гибкости вообще нет, как закодено автором, так и делается, а с другой стороны есть возможность отключать/включать спуфинг посайтово, если вдруг будут проблемы.
Думаю, со всеми этими настроками в эбаут конфиг я стану еще более заметным в интернете, т к настройки крутит 1% от 1% от 1% что вообще заходят на _этот_сайт_
Сейчас можно поставить какой-нибудь блокировщик рекламы и какой был реферер у не отправленного запроса по барабану.
Но в Мозилле уже начали с этим бороться.
Вот для примера у меня:
Ставишь 58 FF. Ublock Origin в него.
Идешь для примера сюда : https://mozilla.github.io/arewefastyet-speedometer/2.0/
смотришь попугаи.
Ставишь 59 бету.
Попугаев в 2-3 раза меньше.
Отключаешь uBlock. Попугаи вернулись.
Уже не верю словам разработчика Firefox. То зонды встраивают, то лепят мнимую защиту.
И вроде хочется согласиться, но аналогов все-равно нет. Есть какие-то фанатские поделки, на которых сидит 1.5 анонимуса, но без слез на это не взглянешь, да и поддержки всех нужных аддонов нет.
> да и поддержки всех нужных аддонов нет.у вас уже никаких аддонов нет, кроме пары хромающих на все лапы неполноценных клонов умерших xul-версий, а вы все повторяете сказки, что у других браузеров "нет поддержки".
waterfox, palemoon - всё ещё есть.
Icecat форк firefox отличный браузер.
> Есть какие-то фанатские поделки, на которых сидит 1.5 анонимуса...
> да и поддержки всех нужных аддонов нет.Ты не поверишь, но выбрав "фанатскую поделку, на которой сидит 1.5 анонимуса", я получил поддержку всех нужных мне аддонов.
> ...но без слез на это не взглянешь...
Да ты не плачь. Это фигня, что без аддонов, зато у тебя все супер-мега-быстро теперь.
Использую Pure Url
И как Pure URL поможет удалить HTTP-заголовок Referrer?
А сайты в ответ: "юзай хром или иди на ***". Посещать такие сайты - это себя не уважать. Но ведь большинство-то себя не уважает, так что файрфоксупесец.
По моему даже опеннет требует реферер.
about:config
network.http.sendRefererHeader 0
одно из многих .... сразу после установки Firefox
Многие сайты не будут корректно работать.
> Многие сайты не будут корректно работать.Зачем им это нужно?
Издревле повелось отключать отдачу картинок, если в Referrer чужой домен (чтобы на чужие сайты не вставляли). Есть вероятность, что при отсутствующем заголовке тоже не отдадут. Причём могут не только картинки, а вообще всю статику.
> Многие сайты не будут корректно работать.на фиг такие сайты.. Но вот правда комментарии на опеннет не будут работать...
для полноты картины надо так:
"network.http.referer.XOriginPolicy", 2
"network.http.referer.spoofSource", true
"network.http.referer.trimmingPolicy", 2
"network.http.sendRefererHeader", 0
> для полноты картины надо так:
> "network.http.referer.XOriginPolicy", 2
> "network.http.referer.spoofSource", true
> "network.http.referer.trimmingPolicy", 2
> "network.http.sendRefererHeader", 0Для полноты картины смыть краску растворителем, заново загрунтовать холст, нарисовать что-то совсем другое, замазать чёрной краской, после чего сжечь и пепел развеять по ветру. Примерно так это будет работать.
Сайты ломаются.
Forbidden (403)CSRF verification failed. Request aborted.
You are seeing this message because this HTTPS site requires a 'Referer header' to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.
If you have configured your browser to disable 'Referer' headers, please re-enable them, at least for this site, or for HTTPS connections, or for 'same-origin' requests.
Да-да. Грамотно спроектированный сайт должен ломаться во избежание XSS
> Да-да. Грамотно спроектированный сайт должен ломаться во избежание XSS100 пудов, местные эксперты не поймут. Объясняю.
Проще всего обработать на стороне сервера вообще любой запрос. Теперь ситуация: интернет-банкинг. Вы залогинились в личный кабинет, сайт выслал вашему браузеру cookies, и теперь при открытии этого сайта в новой вкладке вы оказываетесь залогиненными. Удобно.
В другой вкладке вы открыли сайт с котиками. Тоже классно: котики -- движущая сила развития интернета: пользователь хочет, чтобы котики грузились быстрее. Пока всё прекрасно.
Так или иначе, но на сайте с котиками оказался вредоносный код. Не исключено, что сам вредоносный код оказался даже не на самом сайте. Не суть, как он туда попал.
Вредоносный код посылает на сайт вашего банка сперва GET-запрос с вашими cookies и получает данные о том, сколько денег на вашем счёта, и следом POST-запрос (возможно, несколько), переводящий деньги с вашего счёта на счёт некоего Василия Пупкина.
Проблема в том, что в HTTP-заголовке Referrer запроса к сайту вашего банка во 2м случае вовсе не адрес сайта вашего банка.
1 чужой сайт без флеша и явы эти данные не получит. А с флешом или явой - ссзб.
2 токены csrf и рефереры тут ни при чём.
1) Причём тут flash и java?
2) Когда вредоносный код успешно выполняет GET-запрос, он получает в теле ответа CSRF-токен.
2) Он ничего не получает - same origin policy.
1) с помощью них её можно было обойти.
Я может в танке, но разве CSP+HttpOnly эту проблему не решает? Ведь кука идёт по https каналу, как третий сайт через него что-то там пошлёт?
Про механизм CSP не знал. Спасибо, вникаю.Кажется, понял. CSP не позволит внешнему коду использовать cookies этого сайта. Очень хорошо: GET-запрос тоже выполнить не удастся. Вроде бы решает
Однако ИМХО поодиночке защитные механизмы использовать глупо: поодиночке их можно поиметь. Только CSRF-токен можно обойти, предварительно выполнив GET-запрос. Referrer есть смысл использовать только на POST-запросах, так как блокировать GET-запросы несколько странно.
Что до CSP -- пока не знаю. Выглядит, словно серебряная пуля.
Куки слать в письме не удобно, удобно слать уникальный токен по времени входа.Пароли и логины не должны быть в куках только токены безопасности которые действуют уникально.
Для Инет-банкинга надо пользоваться отдельным профилем.
Таки что мешает злобным коитам менять реферел в запросе? Браузер же может. Да и котики должны быть изолированы от банка и не знать что тот вообще открыт.
> Сайты ломаются.network.http.referer.XOriginPolicy=1 вместо предложенного выше будет вполне приемлемым компромиссом, и ничего ломать не должно.
А вообще много интересного можно почитать тут: https://wiki.mozilla.org/Security/Referrer
Почему это сразу в мозилле не сделали? Эта опция что-то ломает или есть другие причины?
Ломает. Выше ответили.
Можно сделать сайт не требующий эту телеметрию.
Это не (только) телеметрия. Тоже читаем "CORS и XSS для самых маленьких. С картинками"
А ты, я смотрю, недавно прочитал и полон впечатлений?
>CORS и XSS для самых маленьких. С картинкамия даже погуглил в надежде, лол.
> Почему это сразу в мозилле не сделали? Эта опция что-то ломает или
> есть другие причины?Ломает (например) возможность комментарить на этом сайте
Я давно что-то такое уже включал. Дак тогда у меня opennet ломался, при отправке комментов.
Читайте "CORS и XSS для самых маленьких"
Privoxy наше все! Без него в инет вообще не хожу.
И как Privoxy поможет удалить HTTP-заголовок Referrer?
Всегда перехожу на другие сайты с новых вкладок. И вам также советую поступать.
Первоочерёдная проблема рефереров не в переходах на другие страницы, а в загрузке сторонних ресурсов на текущей странице. Например, тут граватар, яндекс и гуглоаналитика с синдикейшеном. Последние 3 обычно заблочены у людей (юблок), ок, но граватару большинство сливает в реферерах то, какие статьи читает.
Нечегоскрыватели конечно закукарекают, мол ну и что, пусть знают что я читаю статью про файрфокс. Но дело в том, что граватар даже этого не должен знать, а в идеале и того, что пикча тянется для опеннет.ру.
А если вместо опеннета взять gelbooru, то всё становится ещё ужаснее. Привет сливу всей истории сёрфа по сайту гуглу. И дело даже не в том, что там тянется скрипт рекапчи (который в теории может и сам всё вынюхать, но можно опытным путём проверить, проверяет/сливает ли он что-то), а тупо в заголовках реферера.
https://www.reddit.com/r/privacy/comments/3hynvp/how_do_you_.../
https://en.wikipedia.org/wiki/Nothing_to_hide_argument
Edward Snowden: "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say."
> Привет сливу всей истории сёрфа по сайту гуглу.А ещё твиттеру и bootstapcdn.
До Сноудена я ещё один "вывел" аргумент.
Когда человек говорит - Зачем мне скрываться - кому я нужен, что дело не в одном тебе, а именно в количестве таких как ты.
А как в Pale Moon обстоят дела с вырезанием параметров заголовков HTTP Referer?
ставишь refer control и настраиваешь как тебе надо.
Palemoon Commander > Security > Privacy, и крути, как хочешь.
Или традиционно - через about:config.
Это проприетарное дополнение? https://www.palemoon.org/commander.shtmlThis add-on is supplied as COPYRIGHTED FREEWARE with disclosed source. Please see the Pale Moon Freeware License for details.