image

Firefox laat websites referer-header strippen

woensdag 21 januari 2015, 17:25 door Redactie, 4 reacties

In de volgende versie van Firefox wordt het mogelijk voor websites om de privacy van hun gebruikers te beschermen door te bepalen wat voor 'referer-header' Firefox naar een andere website verstuurt. Zodra internetgebruikers in hun browser op een link klikken zorgt de referer-header ervoor dat de nieuw geopende website de locatie ziet waarvandaan de bezoeker precies afkomstig is.

Op deze manier kunnen websites zien waar hun bezoekers vandaan komen, maar volgens Mozilla zorgt het ook voor privacyproblemen. "De HTTP Referer biedt aan de websites die je bezoekt een schat aan informatie waar je vandaan kwam, maar deze context is niet altijd nodig of gewenst", zegt Mozilla's Sid Stamm. Volgens Stamm is de HTTP-header die de informatie bevat inmiddels een groot probleem geworden en niet erg zinvol. "Daarom willen we het beter maken", aldus de hoofdingenieur Security en Privacy bij Mozilla.

Feature

De eerste stap bestond uit het flexibeler maken van de browser, zodat gebruikers extensies kunnen installeren om te bepalen wanneer referer-headers worden verstuurd en wat ze bevatten. De tweede stap is een maatregel die websites kunnen nemen om hun gebruikers te beschermen. Aan de bètaversie van Firefox 36 is nu een feature toegevoegd waarmee websites een zogeheten "meta referrer" kunnen aanroepen.

Via deze feature kan de website bepalen wat Firefox in de referer-header naar een geopende website verstuurt en wanneer. Zo is het onder andere mogelijk om de referer in z'n geheel te blokkeren of van allerlei informatie te strippen. "We zijn trots om deze tool aan de features in Firefox toe te voegen die webontwikkelaars kunnen gebruiken om de privacy van hun bezoekers te beschermen", besluit Stamm. Firefox 36 zou op 24 februari moeten verschijnen.

Reacties (4)
21-01-2015, 18:35 door [Account Verwijderd] - Bijgewerkt: 21-01-2015, 18:42
[Verwijderd]
21-01-2015, 18:58 door Anoniem
Wat informatie uit ± 2007 over about:config settings

http://kb.mozillazine.org/Network.http.sendRefererHeader

Zoek op onder
about:config
(in url bar typen, "enter" en akkoord gaan met waarschuwingsmelding)
network.http.sendRefererHeader
Zet de eindwaarde achter de punt comma (;) op nul (0).

Good practice, heel lang al, al voor Firefox versie 3.6 !
Om daar nu in versie 36 mee aan komen hobbelen lijkt meer op een ondersteunende marketing stunt voor de nieuwe officiële focus op privacy.

Dat worden dan nog heel wat persberichten als ze al die privacy mogelijkheden die al jaaaaren mogelijk zijn onder "about:config" nu keer voor keer apart gaan implementeren met een publicitaire gong en een trommeltje erbij.

Gerelateerd : http://kb.mozillazine.org/Network.http.sendSecureXSiteReferrer
21-01-2015, 19:24 door Anoniem
"f a website is accessed from a HTTP Secure (HTTPS) connection and a link points to anywhere except another secure location, then the referer field is not sent

The upcoming standard HTML5 will support the attribute/value rel = "noreferrer" in order to instruct the user agent not to send a referer"

Bron: https://en.wikipedia.org/wiki/HTTP_referrer

Daarnaast zou je ook nog de volgende add-on voor Firefox kunnen gebruiken:
- https://addons.mozilla.org/en-us/firefox/addon/headercontrolrevived/?src=search

En als je het blokkeren in Firefox zelf wilt doen:
- http://cafe.elharo.com/privacy/privacy-tip-3-block-referer-headers-in-firefox/

Tot slot. Met de add-on Live HTTP Headers, kun je de boel nog even bekijken.
En inderdaad U-7, Ghostery mag eigenlijk ook niet ontbreken :)
22-01-2015, 00:13 door Anoniem
Meteen ook de user agent aanpakken, want wat zo'n iphone doet is helemaal belachelijk

Mozilla/5.0 (iPhone; CPU iPhone OS 8_1_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12B440 [FBAN/FBIOS;FBAV/21.0.0.25.14;FBBV/6017145;FBDV/iPhone5,2;FBMD/iPhone;FBSN/iPhone OS;FBSV/8.1.2;FBSS/2; FBCR/KPNNL;FBID/phone;FBLC/nl_NL;FBOP/5]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.