Mozilla Firefox не позволит сайтам отслеживать пользователей через HTTP-рефереры

Mozilla Firefox пересмотрела Referrer Policy, чтобы лучше защитить информацию пользователей. Последняя версия браузера будет автоматически вырезать из URL информацию, которая позволяет отслеживать некоторые действия посетителей сайтов.

Starting tomorrowish, your @Firefox will trim all referrer information for cross-origin navigations: https://t.co/68CKrIdBg0

(Unless you use @FirefoxNightly. Then you get all the good stuff 8 weeks in advance :)

— Attack and Defense (@attackndefense) March 22, 2021

Браузеры отправляют сайтам HTTP-рефереры с информацией, откуда пользователь приходит на них. Эти сообщения полезны для аналитики или оптимизации кеширования, однако не всегда безопасны. «Например, если пользователь перешёл со страницы сброса пароля в каком-нибудь сервисе, то эта ссылка (включая частную информацию) может попасть "кому не следует"», — поясняет технический специалист «РосКомСвободы» Вадим Мисбах-Соловьёв. Или они могут показать, какие материалы пользователь просматривает на ссылающемся веб-сайте и даже включать информацию о его учётной записи. Для контроля того, что именно будет передаваться сайтам, и создают Referrer Policy.

С 2016 года, после повсеместного отказа от протокола HTTP в пользу более защищённого HTTPS, рефереры стали представлять меньшую угрозу, однако всё равно они могут предоставить довольно много персональных данных пользователя. Новая политика «strict-origin-when-cross-origin» для Firefox 87 полностью вырезает из URL любую личную информацию о посетителе.

«Firefox будет применять новую Referrer Policy по умолчанию ко всем навигационным запросам, перенаправленным запросам и запросам субресурсов (изображений, стилей, сценариев), тем самым обеспечивая значительно более приватное использование браузера», — заявили в компании.

Ранее Google Chrome также ввёл более строгую Referrer Policy по умолчанию в 85-ой версии браузера.