Firefox gaat datalekken voorkomen door referrers te strippen

[Captain Kirk]

Mozilla gaat maatregelen in Firefox nemen om datalekken via zogeheten http-referrers te voorkomen. Wanneer gebruikers een link in hun browser openen om een nieuwe website te bezoeken, zorgt de referrer-waarde ervoor dat de nieuwe website ziet vanaf welke pagina de bezoeker afkomstig is.

"Dit lekt gebruikersdata aan websites en vertelt ze welke pagina je precies bekeek voordat je op de link klikte", zegt Mozilla's privacy-engineer Luke Crouch. Websites gebruiken de referrer-informatie voor operationele en statistische doeleinden, maar kunnen het ook gebruiken om zoveel mogelijk informatie over een gebruiker te verzamelen. De data is voor allerlei doelen in te zetten, zoals gerichte advertenties, of kan worden doorverkocht.

Afhankelijk van de bezochte pagina in kwestie kan het om zeer gevoelige informatie gaan die naar de nieuwe website wordt doorgestuurd, zoals het volgende voorbeeld van Crouch laat zien. Het gaat hier om een echt datalek waarbij de Amerikaanse overheidssite HealthCare.gov persoonlijke informatie naar tientallen trackingsites doorstuurde.

Referer: https://www.healthcare.gov/see-plans/85601/results/?county=04019&age=40&smoker=1&pregnant=1&zip=85601&state=AZ&income=35000.

Om dergelijk datalekken tegen te gaan zal Firefox 59 in de Private Browsing Mode voortaan de path-informatie van de referrer-waarde verwijderen. Zodoende zal in het geval van het voorbeeld alleen https://www.healthcare.gov/ aan de nieuwe website worden doorgegeven. Firefox-gebruikers zijn niet afhankelijk van de Private Browsing Mode. De referrer-waarde is ook via "about:config" en deze instellingen in de browser in te stellen. Firefox 59 staat gepland voor 13 maart.

 

 

 

bron: security.nl