Firefox 87 stript HTTP Referrer om lekken van privédata te voorkomen

[Captain Kirk]

De volgende versie van Firefox zal de HTTP Referrer deels strippen om het lekken van gevoelige gebruikersgegevens te voorkomen, zo heeft Mozilla aangekondigd. Zodra internetgebruikers in hun browser op een link klikken zorgt de HTTP Referrer header ervoor dat de nieuw geopende website de locatie ziet waarvandaan de bezoeker precies afkomstig is. Op deze manier kunnen websites zien waar hun bezoekers vandaan komen, wat bijvoorbeeld handig is voor analytics.

Volgens Mozilla blijkt in de praktijk dat de HTTP Referrer header vaak privégegevens van gebruikers bevat. Zo kan die prijsgeven welke artikel een gebruiker op de verwijzende website aan het lezen was en kan die ook informatie over het account van een gebruiker op een website bevatten. Om websites meer controle te geven over hoeveel informatie er via de Referer header wordt meegestuurd werd de Referrer Policy ingevoerd waar browsers tegenwoordig gebruik van maken.

Standaard maken browsers gebruik van de no-referrer-when-downgrade policy. Hierbij wordt de referrer gestript wanneer gebruikers van een https-site naar een http-site gaan. Is dit niet het geval, dan wordt de volledige url inclusief path en query-informatie meegestuurd. Hierdoor kan er gevoelige gebruikersinformatie lekken. Daar komt bij dat steeds meer websites via https worden aangeboden en de no-referrer-when-downgrade policy niet meer van deze tijd is, aldus Dimi Lee van Mozilla.

De Firefox-ontwikkelaar gaat daarom het beleid aanpassen en standaard een strict-origin-when-cross-origin policy implementeren. Wanneer een gebruiker dan op een link naar een andere website klikt zullen path en query-informatie niet meer worden meegestuurd. Dit geldt voor alle cross-origin requests. Daarnaast zal nog steeds de informatie bij een verwijzing van https naar http worden gestript. Firefox 87 zou morgen, dinsdag 23 maart moeten uitkomen. Gebruikers hoeven verder niets te doen om van het nieuwe beleid gebruik te maken.

 

bron: https://www.security.nl