Firefox gaat datalekken voorkomen door referrers te strippen
Mozilla gaat maatregelen in Firefox nemen om datalekken via zogeheten http-referrers te voorkomen. Wanneer gebruikers een link in hun browser openen om een nieuwe website te bezoeken, zorgt de referrer-waarde ervoor dat de nieuwe website ziet vanaf welke pagina de bezoeker afkomstig is.
"Dit lekt gebruikersdata aan websites en vertelt ze welke pagina je precies bekeek voordat je op de link klikte", zegt Mozilla's privacy-engineer Luke Crouch. Websites gebruiken de referrer-informatie voor operationele en statistische doeleinden, maar kunnen het ook gebruiken om zoveel mogelijk informatie over een gebruiker te verzamelen. De data is voor allerlei doelen in te zetten, zoals gerichte advertenties, of kan worden doorverkocht.
Afhankelijk van de bezochte pagina in kwestie kan het om zeer gevoelige informatie gaan die naar de nieuwe website wordt doorgestuurd, zoals het volgende voorbeeld van Crouch laat zien. Het gaat hier om een echt datalek waarbij de Amerikaanse overheidssite HealthCare.gov persoonlijke informatie naar tientallen trackingsites doorstuurde.
Referer: https://www.healthcare.gov/see-plans/85601/results/?county=04019&age=40&smoker=1&pregnant=1&zip=85601&state=AZ&income=35000.
Om dergelijk datalekken tegen te gaan zal Firefox 59 in de Private Browsing Mode voortaan de path-informatie van de referrer-waarde verwijderen. Zodoende zal in het geval van het voorbeeld alleen https://www.healthcare.gov/ aan de nieuwe website worden doorgegeven. Firefox-gebruikers zijn niet afhankelijk van de Private Browsing Mode. De referrer-waarde is ook via "about:config" en deze instellingen in de browser in te stellen. Firefox 59 staat gepland voor 13 maart.
Was al een van de eerste privacy maatregelen die je handmatig doorvoerde omdat mozilla dat niet voor je had gedaan het volgende.
O.a. deze waarden veranderen, al vanaf versie 3?*
bron 2007: http://kb.mozillazine.org/Network.http.sendSecureXSiteReferrer
(bron 2007: http://kb.mozillazine.org/Network.http.sendRefererHeader )
En nu in 2018 en 2017 komt men af en toe mondjesmaat met veranderingen die ze langer dan een decennium vertikte door te voeren.
Denk ook aan de half functionele forget button of de totale weigering firefox standaard in privacy modus te leveren.
PR met oude wijn in nieuwe verpakking: een mini-druppel op de gloeiende plaat
Mozilla is al heel lang niet geloofwaardig.
Dat kan je niet compenseren door je imago publiekelijk met privacy te associeren, sommige dingen (en veel meer) moet je doen.
Mozilla belijdt al een hele tijd met het mondje, dat heeft geen zin als aan de andere kant steeds wagenwijd open staat het ...je (backdoor wagenwijd open).
Nogal misleidend als er tegelijkertijd nog steeds een tiental of meer waarden niet veranderd zijn.
Firefox is geen privacy browser !
Dat kan je er wel van maken maar dat kost je veel handmatig werk en dat vertelt men er niet bij: misleiding dus.
* https://en.wikipedia.org/wiki/Firefox_version_history
bron 2007: http://kb.mozillazine.org/Network.http.sendSecureXSiteReferrer
(bron 2007: http://kb.mozillazine.org/Network.http.sendRefererHeader )
En ja, je zult dus zelf even onder de motorkap van Firefox moeten duiken om deze waarden aan te passen.
https://www.privacytools.io/
Bijvoorbeeld:
Referrer-Policy: no-referrer
Zie:
https://www.w3.org/TR/referrer-policy/
- https://www.w3.org/TR/referrer-policy/
- https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy
- https://scotthelme.co.uk/a-new-security-header-referrer-policy/
Ik heb sinds jaar en dag deze referrers uitstaan, maar ik herinner mij dat het soms problemen kon veroorzaken
zoals geen toegang krijgen tot de opgevraagde pagina of website waarnaar je werd doorverwezen.
....
Dat kan je er wel van maken maar dat kost je veel handmatig werk en dat vertelt men er niet bij: misleiding dus.
Referrers zijn niet zo rampzalig. Geeft de eigenaar van een site de mogelijkheid om te zien waar iemand vandaan komt (zoekmachine vs link op b.v. startpagina.nl). Leuk en handig om het bereik te kunnen monitorren. Zoals op 21:13 al deels beschreven door Anoniem.
IP-adressen filter ik na 1mnd uit de database. Referrers staan per domein gesorteerd op hits (en geeft dit niet weer, als er 1~5 hits op een referrer zijn). Het gaat me uiteindelijk om de top referring domains (niet de unieke URL's) en top linking pages (binnen een domein). Een unieke referrer (1 hit) blijft per definitie private.
Ieder zal zo zijn methodes hebben. Hoe "count" je een bezoeker? Per hit? Per tijd? etc etc...
Mijn basis-regel: Activiteit (een bezoek) vereist binnen 10 minuten een 2e hit (op de zelfde session-id). Na 10 minuten count ik een additionele bezoeker/hit. Een Google-bot / crawler is hiermee vaak slechts 1 bezoeker, met 10k+ hits in een session.
Er zijn veel methodes om bezoekers te berekenen. De bovenstaande methode vind ik goed werken.
Je kunt het daar per website afregelen wn ook Block Referer per site ingeven.
In Firefox kun je met about:config nog veel meer aan je privacy verbeteren.
https://wiki.manjaro.org/index.php?title=Firefox_about:config_edits
Het datalek zit in mijn ogen overigens primair in de websites die dergelijke gegevens in de URL plaatsen. Die horen daar niet thuis, en het een webontwikkelaar die dat niet snapt of niet weet hoe te voorkomen is dat ze daar terechtkomen verstaat een belangrijk onderdeel van zijn vak niet.
Daarmee zeg ik niet ik vind dat die gegevens maar in referer-headers moeten blijven staan, er zijn zat webontwikkelaars actief die inderdaad van alles niet weten en zat opdrachtgevers die dat niet kunnen beoordelen.
Als webontwikkelaar die het allemaal interessant vindt moet je dan maar genoegen nemen met alleen het domein waarvandaan gelinkt werd. En wat SEO betreft (waarom doet dat me denken aan SOA?) vind ik het als gebruiker van zoekmachines wel deftig als ik webpagina's voorgeschoteld krijg die de zoektekst ook als tekst die de bezoeker ziet bevatten; ik word af en toe een beetje ziek van al die sites die via allerlei trucjes proberen voor te dringen met informatie die alleen in de fantasie van de site-bouwer iets met mijn zoekopdracht te maken heeft.
Er is maar 1 manier om geen datalek te hebben:
Webdevelopers, testers en eigenaren moeten weten, vanuit de OWASP top 10, dat je in een URL nooit gevoelige data mag zetten..
Dat is toch juist de reden waarom men het wil uitzetten?
De gebruiker wil helemaal niet dat de webdeveloper alles over hem te weten komt, dat is nou precies het punt.
Misschien maar ander werk zoeken dan?
Bijvoorbeeld:
Referrer-Policy: no-referrer
Zie:
https://www.w3.org/TR/referrer-policy/
Dan heeft u 1 server danwel website veiliger gemaakt op het grote boze internet. Dat zet niet zoveel zoden aan de dijk.
'Kuch'
https://www.ghacks.net/2015/08/18/a-comprehensive-list-of-firefox-privacy-and-security-settings/
'Leuk!!!
200 a4tjes om even door te lezen,
te beoordelen
en dan uiteindelijk in de about:config regelwaarde voor regelwaarde handmatig aan te gaan passen.
Hoe lang denk je dat een doorsnee internet gebruiker hier mee bezig zal zijn.
Hoeveel % van de doorsnee internetgebruikers zal dit uit eigen motivatie gaan doen en ook afmaken?
Juist, een heel erg kleine groep.
Als je dat redelijkerwijs weet en kan verwachten, dus ook weet dat het volkomen niet reeel is dat een grote groep gebruikers dit onderneemt, doe dan ook niet alsof je een mooi privacy product hebt!
Iedereen weet dat als bepaald gebruik veel teveel drempels opwerpt de gemiddelde gebruiker er met een wijde boog omheen loopt.
Dat is een heel begrijpelijke vorm van 'het volgen van de weg van de minste weerstand' die je ook wel kan vatten onder het begrip efficientie, het leven vraagt aandacht voor vele zaken en als iets heel erg veel moeite kost dan laten mensen dat voor wat het is omdat andere zaken ook de aandacht vragen.
'Even' ?
In IT land is 'even' meestal toch behoorlijk verrekte lang, plak er maar 'even' een gemiddeld uurloon tegenaan om een idee te krijgen waarom veel mensen dit als tijdverspilling zouden zien.
Als ze het al kunnen begrijpen en kunnen dat even uitzoeken en even aanpassen.
Mostaertfox !
"Mostaert dienen als tvleesch gheten is" ?
Misschien helpt het nog wel een beetje, maar het blijft te laat.
En als je er naar verhouding te weinig van neemt heeft het geen nut.
Maar lekker is het zeker niet,
zo'n grote about:mosterd eetlepel puur naar binnen schuiven.
Dat doen er dus maar weinigen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
