The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

03.02.2018 21:41  В приватном режиме Firefox 59 будет вырезаться содержательная часть HTTP Referrer

Разработчики Firefox намерены включить в следующем выпуске защиту от утечки информации через заголовок HTTP Referer. В приватном режиме при обращении к внешнему ресурсу в заголовке HTTP Referer теперь будет передаваться только имя хоста, а путь и все параметры запроса будут вырезаны. Т.е. вместо "Referer: https://www.example.com/путь/?аргументы" будет передан "Referer: https://www.example.com/".

Подобное поведение поможет предотвратить передачу лишних данных о пользователе рекламным сетям и прочим внешним ресурсам. В качестве примера приводятся некоторые медицинские сайты, в процессе показа рекламы на которых третьи лица могут получить сведения конфиденциального характера, такие как возраст и поставленный пациенту диагноз. Пока очистка HTTP Referrer производится только в приватном режиме, так как передаваемый через данный заголовок полный адрес предыдущей страницы востребован владельцами сайтов для анализа источников трафика и разбора фраз, которые привели к переходу с поисковой системы.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: HTML 5.2 получил статус рекомендованного стандарта
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: mozilla, firefox, referrer
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 21:53, 03/02/2018 [ответить] [показать ветку] [···]     [к модератору]
  • –4 +/
    Вообще-то сайты которые конфеденциальные данные через GET, а не POST передают са... весь текст скрыт [показать]
     
     
  • 2.11, kai3341 (ok), 22:57, 03/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Каким образом конфеденциальные данные связаны с HTTP-заголовком Referrer?
     
     
  • 3.14, echo_donbasskih_podzemok (?), 23:15, 03/02/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Очень просто через украденные базы мед заведений диагноз может быть связан с к... весь текст скрыт [показать]
     
     
  • 4.16, kai3341 (ok), 23:30, 03/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Складывается впечатление, что вместо того, чтобы читать новость, вы ухватили ключевые слова и пытаетесь делать вывод. Какие к чёрту украденные БД?
     
     
  • 5.44, Вася Пупкин (?), 14:14, 04/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Это бот, он учится и генерит фразы по ключевым словам.
     
     
  • 6.50, ыпр (?), 16:00, 04/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Откуда столько инфы о боте? Не ваш ли бот случаем?;)
     
  • 3.27, GG (ok), 01:47, 04/02/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Действительно, как Здравствуйте, Вася Пупкин Результаты ваших анализов готовы, ... весь текст скрыт [показать]
     
     
  • 4.30, kai3341 (ok), 02:43, 04/02/2018 [^] [ответить]     [к модератору]  
  • +3 +/
    Вы почти правы Пользователя беспокоит, допустим, лурчанка Он нашёл в интернете... весь текст скрыт [показать]
     
     
  • 5.45, Аноним (-), 14:14, 04/02/2018 [^] [ответить]    [к модератору]  
  • –4 +/
    > В момент открытия страницы браузер загружает с внешнего ресурса js и css

    Браузер по умолчанию - Links v2.14. Какие еще js и css???

     
     
  • 6.61, DmA (??), 09:22, 05/02/2018 [^] [ответить]    [к модератору]  
  • +/
    referrer то у linksa есть! и картинки он умеет грузить с чужих сайтов-то!
    Так что подвержен!
     
     
  • 7.68, Аноним (-), 16:17, 06/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Можно как-то подшаманить Links для отключения этого функционала В Links вроде ж... весь текст скрыт [показать]
     
     
  • 8.69, Аноним (-), 12:45, 07/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Нету, зато в w3m есть штатный referer suppression, так что он на порядок лучше
     
  • 3.57, DmA (??), 06:52, 05/02/2018 [^] [ответить]     [к модератору]  
  • +/
    например друг выложил вам ссылку с котиками на странице в контакте и вы щёлкнули... весь текст скрыт [показать]
     
  • 3.60, Шумер (?), 08:48, 05/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Еще по рефереру можно узнать какую порнуху ты смотрел
     
  • 1.2, Аноним (-), 21:56, 03/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Вспоминается ситуация со Сбербанком и показом на внутренних страницах кода Yandex Metric и Google Analytic. Или засовывание интерактивных виджетов FB, Twitter и VK в личных кабинетах.
     
  • 1.3, Аноним (-), 22:06, 03/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    А сейчас на 58 версии в about:config это можно включить?
     
     
  • 2.7, Аноним (-), 22:24, 03/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Давно можно ещё в чёрт знает какой лохматой версии.
     
  • 2.33, Аноним (-), 04:55, 04/02/2018 [^] [ответить]     [к модератору]  
  • +/
    И в ранних версиях можно, с 52 https feeding cloud geek nz posts tweaking-ref... весь текст скрыт [показать]
     
  • 2.58, Анон2 (?), 08:39, 05/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Думаю, со всеми этими настроками в эбаут конфиг я стану еще более заметным в  интернете, т к настройки крутит 1% от 1% от 1% что вообще заходят на _этот_сайт_
     
  • 2.64, Внезапно (?), 18:37, 05/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Сейчас можно поставить какой-нибудь блокировщик рекламы и какой был реферер у не... весь текст скрыт [показать]
     
  • 1.4, QroxZ (?), 22:07, 03/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Уже не верю словам разработчика Firefox. То зонды встраивают, то лепят мнимую защиту.
     
     
  • 2.26, Vadu (?), 01:46, 04/02/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    И вроде хочется согласиться, но аналогов все-равно нет. Есть какие-то фанатские поделки, на которых сидит 1.5 анонимуса, но без слез на это не взглянешь, да и поддержки всех нужных аддонов нет.
     
     
  • 3.39, 1.5 анонимуса (?), 11:28, 04/02/2018 [^] [ответить]     [к модератору]  
  • +/
    у вас уже никаких аддонов нет, кроме пары хромающих на все лапы неполноценных кл... весь текст скрыт [показать]
     
     
  • 4.48, Ivan_83 (ok), 15:41, 04/02/2018 [^] [ответить]    [к модератору]  
  • +/
    waterfox, palemoon - всё ещё есть.
     
     
  • 5.54, Игорь (??), 01:11, 05/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Icecat форк firefox отличный браузер.
     
  • 3.65, Аноним (-), 22:55, 05/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Ты не поверишь, но выбрав фанатскую поделку, на которой сидит 1 5 анонимуса , я... весь текст скрыт [показать]
     
  • 1.5, Добрый любитель булок. (?), 22:12, 03/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Использую Pure Url
     
     
  • 2.10, kai3341 (ok), 22:55, 03/02/2018 [^] [ответить]    [к модератору]  
  • +/
    И как Pure URL поможет удалить HTTP-заголовок Referrer?
     
  • 1.6, Аноним (-), 22:23, 03/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А сайты в ответ: "юзай хром или иди на ***". Посещать такие сайты - это себя не уважать. Но ведь большинство-то себя не уважает, так что файрфоксупесец.
     
     
  • 2.66, Grammar (?), 08:19, 06/02/2018 [^] [ответить]    [к модератору]  
  • +/
    По моему даже опеннет требует реферер.
     
  • 1.8, Аноним (-), 22:44, 03/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    about:config
    network.http.sendRefererHeader   0
    одно из многих .... сразу после установки Firefox
     
     
  • 2.13, QroxZ (?), 23:15, 03/02/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Многие сайты не будут корректно работать.
     
     
  • 3.19, Аноним (-), 23:46, 03/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Многие сайты не будут корректно работать.

    Зачем им это нужно?

     
     
  • 4.40, Аноним (-), 13:14, 04/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Издревле повелось отключать отдачу картинок, если в Referrer чужой домен чтобы ... весь текст скрыт [показать]
     
  • 3.62, DmA (??), 09:24, 05/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Многие сайты не будут корректно работать.

    на фиг такие сайты.. Но вот правда комментарии на опеннет не будут работать...

     
  • 2.15, 353 (?), 23:19, 03/02/2018 [^] [ответить]    [к модератору]  
  • +/
    для полноты картины надо так:
    "network.http.referer.XOriginPolicy", 2
    "network.http.referer.spoofSource", true
    "network.http.referer.trimmingPolicy", 2
    "network.http.sendRefererHeader", 0
     
     
  • 3.41, Аноним (-), 13:19, 04/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Для полноты картины смыть краску растворителем, заново загрунтовать холст, нарис... весь текст скрыт [показать]
     
  • 2.17, Аноним (-), 23:40, 03/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Сайты ломаются Forbidden 403 CSRF verification failed Request aborted You a... весь текст скрыт [показать]
     
     
  • 3.25, kai3341 (ok), 01:34, 04/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Да-да. Грамотно спроектированный сайт должен ломаться во избежание XSS
     
     
  • 4.28, kai3341 (ok), 01:52, 04/02/2018 [^] [ответить]     [к модератору]  
  • +/
    100 пудов, местные эксперты не поймут Объясняю Проще всего обработать на сторо... весь текст скрыт [показать]
     
     
  • 5.29, Аноним (-), 02:20, 04/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    1 чужой сайт без флеша и явы эти данные не получит. А с флешом или явой - ссзб.
    2 токены csrf и рефереры тут ни при чём.
     
     
  • 6.31, kai3341 (ok), 02:50, 04/02/2018 [^] [ответить]    [к модератору]  
  • +/
    1) Причём тут flash и java?
    2) Когда вредоносный код успешно выполняет GET-запрос, он получает в теле ответа CSRF-токен.
     
     
  • 7.52, Аноним (-), 19:16, 04/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    2) Он ничего не получает - same origin policy.
    1) с помощью них её можно было обойти.
     
  • 5.38, mumu (ok), 09:39, 04/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Я может в танке, но разве CSP+HttpOnly эту проблему не решает? Ведь кука идёт по https каналу, как третий сайт через него что-то там пошлёт?
     
     
  • 6.43, kai3341 (ok), 14:03, 04/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Про механизм CSP не знал Спасибо, вникаю Кажется, понял CSP не позволит внешн... весь текст скрыт [показать]
     
  • 5.51, Аноним (-), 18:53, 04/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Куки слать в письме не удобно, удобно слать уникальный токен по времени входа.

    Пароли и логины не должны быть в куках только токены безопасности которые действуют уникально.

     
  • 5.56, Аноним (-), 03:12, 05/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Для Инет-банкинга надо пользоваться отдельным профилем.
     
  • 5.59, Анон2 (?), 08:45, 05/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Таки что мешает злобным коитам менять реферел в запросе? Браузер же может. Да и котики должны быть изолированы от банка и не знать что тот вообще открыт.

     
  • 3.42, Аноним (-), 13:26, 04/02/2018 [^] [ответить]     [к модератору]  
  • +/
    network http referer XOriginPolicy 1 вместо предложенного выше будет вполне прие... весь текст скрыт [показать]
     
  • 2.18, Аноним (-), 23:45, 03/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Почему это сразу в мозилле не сделали? Эта опция что-то ломает или есть другие причины?
     
     
  • 3.20, Аноним (-), 23:55, 03/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Ломает. Выше ответили.
     
     
  • 4.21, Аноним (-), 00:08, 04/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Можно сделать сайт не требующий эту телеметрию.
     
     
  • 5.24, kai3341 (ok), 01:25, 04/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Это не (только) телеметрия. Тоже читаем "CORS и XSS для самых маленьких. С картинками"
     
     
  • 6.46, Аноним (-), 14:27, 04/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    А ты, я смотрю, недавно прочитал и полон впечатлений?
     
  • 6.55, имя (?), 03:08, 05/02/2018 [^] [ответить]    [к модератору]  
  • +/
    >CORS и XSS для самых маленьких. С картинками

    я даже погуглил в надежде, лол.

     
  • 3.63, DmA (??), 09:26, 05/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Почему это сразу в мозилле не сделали? Эта опция что-то ломает или
    > есть другие причины?

    Ломает (например) возможность комментарить на этом сайте

     
  • 1.9, th3m3 (ok), 22:50, 03/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я давно что-то такое уже включал. Дак тогда у меня opennet ломался, при отправке комментов.
     
     
  • 2.12, kai3341 (ok), 22:58, 03/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Читайте "CORS и XSS для самых маленьких"
     
  • 1.22, Аноним (-), 00:14, 04/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Privoxy наше все! Без него в инет вообще не хожу.
     
     
  • 2.23, kai3341 (ok), 01:19, 04/02/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    И как Privoxy поможет удалить HTTP-заголовок Referrer?
     
  • 1.34, Аноним (-), 05:51, 04/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Всегда перехожу на другие сайты с новых вкладок. И вам также советую поступать.
     
     
  • 2.35, Аноним (-), 06:34, 04/02/2018 [^] [ответить]     [к модератору]  
  • +4 +/
    Первоочерёдная проблема рефереров не в переходах на другие страницы, а в загрузк... весь текст скрыт [показать]
     
     
  • 3.36, Аноним (-), 07:01, 04/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Привет сливу всей истории сёрфа по сайту гуглу.

    А ещё твиттеру и bootstapcdn.

     
  • 3.37, Аноним (-), 07:01, 04/02/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    До Сноудена я ещё один "вывел" аргумент.
    Когда человек говорит - Зачем мне скрываться - кому я нужен, что дело не в одном тебе, а именно в количестве таких как ты.

     
  • 1.47, Аноним (-), 14:45, 04/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А как в Pale Moon обстоят дела с вырезанием параметров заголовков HTTP Referer?
     
     
  • 2.49, Ivan_83 (ok), 15:44, 04/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    ставишь refer control и настраиваешь как тебе надо.
     
  • 2.53, Аноним (-), 23:33, 04/02/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Palemoon Commander > Security > Privacy, и крути, как хочешь.
    Или традиционно - через about:config.
     
     
  • 3.67, Аноним (-), 16:11, 06/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Это проприетарное дополнение https www palemoon org commander shtml This add-... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor