image

Firefox gaat datalekken voorkomen door referrers te strippen

woensdag 31 januari 2018, 16:46 door Redactie, 16 reacties

Mozilla gaat maatregelen in Firefox nemen om datalekken via zogeheten http-referrers te voorkomen. Wanneer gebruikers een link in hun browser openen om een nieuwe website te bezoeken, zorgt de referrer-waarde ervoor dat de nieuwe website ziet vanaf welke pagina de bezoeker afkomstig is.

"Dit lekt gebruikersdata aan websites en vertelt ze welke pagina je precies bekeek voordat je op de link klikte", zegt Mozilla's privacy-engineer Luke Crouch. Websites gebruiken de referrer-informatie voor operationele en statistische doeleinden, maar kunnen het ook gebruiken om zoveel mogelijk informatie over een gebruiker te verzamelen. De data is voor allerlei doelen in te zetten, zoals gerichte advertenties, of kan worden doorverkocht.

Afhankelijk van de bezochte pagina in kwestie kan het om zeer gevoelige informatie gaan die naar de nieuwe website wordt doorgestuurd, zoals het volgende voorbeeld van Crouch laat zien. Het gaat hier om een echt datalek waarbij de Amerikaanse overheidssite HealthCare.gov persoonlijke informatie naar tientallen trackingsites doorstuurde.

Referer: https://www.healthcare.gov/see-plans/85601/results/?county=04019&age=40&smoker=1&pregnant=1&zip=85601&state=AZ&income=35000.

Om dergelijk datalekken tegen te gaan zal Firefox 59 in de Private Browsing Mode voortaan de path-informatie van de referrer-waarde verwijderen. Zodoende zal in het geval van het voorbeeld alleen https://www.healthcare.gov/ aan de nieuwe website worden doorgegeven. Firefox-gebruikers zijn niet afhankelijk van de Private Browsing Mode. De referrer-waarde is ook via "about:config" en deze instellingen in de browser in te stellen. Firefox 59 staat gepland voor 13 maart.

Reacties (16)
31-01-2018, 17:06 door Anoniem
11 jaar geleden

Was al een van de eerste privacy maatregelen die je handmatig doorvoerde omdat mozilla dat niet voor je had gedaan het volgende.
O.a. deze waarden veranderen, al vanaf versie 3?*

network.http.sendSecureXSiteReferrer;true
naar false
bron 2007: http://kb.mozillazine.org/Network.http.sendSecureXSiteReferrer

network.http.sendRefererHeader;2
naar 0
(bron 2007: http://kb.mozillazine.org/Network.http.sendRefererHeader )

En nu in 2018 en 2017 komt men af en toe mondjesmaat met veranderingen die ze langer dan een decennium vertikte door te voeren.
Denk ook aan de half functionele forget button of de totale weigering firefox standaard in privacy modus te leveren.

PR met oude wijn in nieuwe verpakking: een mini-druppel op de gloeiende plaat
Mozilla is al heel lang niet geloofwaardig.
Dat kan je niet compenseren door je imago publiekelijk met privacy te associeren, sommige dingen (en veel meer) moet je doen.
Mozilla belijdt al een hele tijd met het mondje, dat heeft geen zin als aan de andere kant steeds wagenwijd open staat het ...je (backdoor wagenwijd open).
Nogal misleidend als er tegelijkertijd nog steeds een tiental of meer waarden niet veranderd zijn.

Firefox is geen privacy browser !

Dat kan je er wel van maken maar dat kost je veel handmatig werk en dat vertelt men er niet bij: misleiding dus.

* https://en.wikipedia.org/wiki/Firefox_version_history
31-01-2018, 17:17 door Anoniem
Ik gebruik nu een proxy die dat stript maar het zou handig zijn om dat in ESR standaard te hebben.
31-01-2018, 20:05 door Anoniem
Door Anoniem:
network.http.sendSecureXSiteReferrer;true
naar false
bron 2007: http://kb.mozillazine.org/Network.http.sendSecureXSiteReferrer

network.http.sendRefererHeader;2
naar 0
(bron 2007: http://kb.mozillazine.org/Network.http.sendRefererHeader )
Deze instellingen worden al heel lang op de site van privacy-tools aanbevolen.
En ja, je zult dus zelf even onder de motorkap van Firefox moeten duiken om deze waarden aan te passen.
https://www.privacytools.io/
31-01-2018, 20:21 door Anoniem
Aan de serverkant kun je nog een header zetten die helpt:

Bijvoorbeeld:

Referrer-Policy: no-referrer

Zie:
https://www.w3.org/TR/referrer-policy/
31-01-2018, 20:51 door Anoniem
Zie ook de Referrer-Policy HTTP header:
- https://www.w3.org/TR/referrer-policy/
- https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy
- https://scotthelme.co.uk/a-new-security-header-referrer-policy/
31-01-2018, 21:13 door Anoniem
Goh, als webdeveloper is het juist interessant om cross domain referers te weten. Google kan het zowizo ook al is het gedisabled, dus graag zou ik deze informatie ook benutten om deftige SEO toe te passen. Ook is het handig voor contacten met websites die naar je content linken, zo leer je nog eens wat mensen kennen.
31-01-2018, 21:38 door Anoniem
Binnen één en dezelfde website is het geen probleem om referrers te gebruiken.

Ik heb sinds jaar en dag deze referrers uitstaan, maar ik herinner mij dat het soms problemen kon veroorzaken
zoals geen toegang krijgen tot de opgevraagde pagina of website waarnaar je werd doorverwezen.
31-01-2018, 21:39 door Anoniem
Door Anoniem: 11 jaar geleden
....
Dat kan je er wel van maken maar dat kost je veel handmatig werk en dat vertelt men er niet bij: misleiding dus.
Zeikstraal... Niets misleiding. Ze documenteren de features en je kan al 11 jaar gebruik maken van een browser waar die setting aangepast kan worden. Als je eenmaal een leuke user.js / userChrome.css hebt gemaakt, kan je daar schattig mee blijven werken. En die user.js / userChrome.css kan je natuurlijk ook delen met vrienden/kennissen.

Referrers zijn niet zo rampzalig. Geeft de eigenaar van een site de mogelijkheid om te zien waar iemand vandaan komt (zoekmachine vs link op b.v. startpagina.nl). Leuk en handig om het bereik te kunnen monitorren. Zoals op 21:13 al deels beschreven door Anoniem.

IP-adressen filter ik na 1mnd uit de database. Referrers staan per domein gesorteerd op hits (en geeft dit niet weer, als er 1~5 hits op een referrer zijn). Het gaat me uiteindelijk om de top referring domains (niet de unieke URL's) en top linking pages (binnen een domein). Een unieke referrer (1 hit) blijft per definitie private.

Ieder zal zo zijn methodes hebben. Hoe "count" je een bezoeker? Per hit? Per tijd? etc etc...

Mijn basis-regel: Activiteit (een bezoek) vereist binnen 10 minuten een 2e hit (op de zelfde session-id). Na 10 minuten count ik een additionele bezoeker/hit. Een Google-bot / crawler is hiermee vaak slechts 1 bezoeker, met 10k+ hits in een session.

Er zijn veel methodes om bezoekers te berekenen. De bovenstaande methode vind ik goed werken.
01-02-2018, 00:32 door Anoniem
In Google Chrome gebruiken we de extensie referer control 1.21, heel fijn af te regelen.
Je kunt het daar per website afregelen wn ook Block Referer per site ingeven.
01-02-2018, 07:32 door Anoniem
Oude wijn in nieuwe zakken

In Firefox kun je met about:config nog veel meer aan je privacy verbeteren.
https://wiki.manjaro.org/index.php?title=Firefox_about:config_edits
01-02-2018, 07:45 door Anoniem
Door Anoniem: Goh, als webdeveloper is het juist interessant om cross domain referers te weten. Google kan het zowizo ook al is het gedisabled, dus graag zou ik deze informatie ook benutten om deftige SEO toe te passen. Ook is het handig voor contacten met websites die naar je content linken, zo leer je nog eens wat mensen kennen.
Maar het is niet in orde om eruit af te kunnen lezen wat iemands leeftijd en inkomen zijn, en of die persoon rookt of zwanger is, zoals het voorbeeld laat zien.

Het datalek zit in mijn ogen overigens primair in de websites die dergelijke gegevens in de URL plaatsen. Die horen daar niet thuis, en het een webontwikkelaar die dat niet snapt of niet weet hoe te voorkomen is dat ze daar terechtkomen verstaat een belangrijk onderdeel van zijn vak niet.

Daarmee zeg ik niet ik vind dat die gegevens maar in referer-headers moeten blijven staan, er zijn zat webontwikkelaars actief die inderdaad van alles niet weten en zat opdrachtgevers die dat niet kunnen beoordelen.

Als webontwikkelaar die het allemaal interessant vindt moet je dan maar genoegen nemen met alleen het domein waarvandaan gelinkt werd. En wat SEO betreft (waarom doet dat me denken aan SOA?) vind ik het als gebruiker van zoekmachines wel deftig als ik webpagina's voorgeschoteld krijg die de zoektekst ook als tekst die de bezoeker ziet bevatten; ik word af en toe een beetje ziek van al die sites die via allerlei trucjes proberen voor te dringen met informatie die alleen in de fantasie van de site-bouwer iets met mijn zoekopdracht te maken heeft.
01-02-2018, 08:52 door Anoniem
Firefox voorkomt het datalek niet, het datalek wordt alleen minder erg.

Er is maar 1 manier om geen datalek te hebben:
Webdevelopers, testers en eigenaren moeten weten, vanuit de OWASP top 10, dat je in een URL nooit gevoelige data mag zetten..
01-02-2018, 09:56 door Anoniem
Door Anoniem: Goh, als webdeveloper is het juist interessant om cross domain referers te weten. Google kan het zowizo ook al is het gedisabled, dus graag zou ik deze informatie ook benutten om deftige SEO toe te passen. Ook is het handig voor contacten met websites die naar je content linken, zo leer je nog eens wat mensen kennen.

Dat is toch juist de reden waarom men het wil uitzetten?
De gebruiker wil helemaal niet dat de webdeveloper alles over hem te weten komt, dat is nou precies het punt.
Misschien maar ander werk zoeken dan?
01-02-2018, 10:47 door Anoniem
Door Anoniem: Aan de serverkant kun je nog een header zetten die helpt:

Bijvoorbeeld:

Referrer-Policy: no-referrer

Zie:
https://www.w3.org/TR/referrer-policy/

Dan heeft u 1 server danwel website veiliger gemaakt op het grote boze internet. Dat zet niet zoveel zoden aan de dijk.
01-02-2018, 13:05 door Anoniem
Je hebt een addon Smart Referer die dit voor je kan doen.
01-02-2018, 16:04 door Anoniem
About:mosterd &' even' veranderen ..

'Kuch'
https://www.ghacks.net/2015/08/18/a-comprehensive-list-of-firefox-privacy-and-security-settings/

'Leuk!!!
200 a4tjes om even door te lezen,
te beoordelen
en dan uiteindelijk in de about:config regelwaarde voor regelwaarde handmatig aan te gaan passen.

Hoe lang denk je dat een doorsnee internet gebruiker hier mee bezig zal zijn.
Hoeveel % van de doorsnee internetgebruikers zal dit uit eigen motivatie gaan doen en ook afmaken?

Juist, een heel erg kleine groep.
Als je dat redelijkerwijs weet en kan verwachten, dus ook weet dat het volkomen niet reeel is dat een grote groep gebruikers dit onderneemt, doe dan ook niet alsof je een mooi privacy product hebt!

Iedereen weet dat als bepaald gebruik veel teveel drempels opwerpt de gemiddelde gebruiker er met een wijde boog omheen loopt.
Dat is een heel begrijpelijke vorm van 'het volgen van de weg van de minste weerstand' die je ook wel kan vatten onder het begrip efficientie, het leven vraagt aandacht voor vele zaken en als iets heel erg veel moeite kost dan laten mensen dat voor wat het is omdat andere zaken ook de aandacht vragen.

'Even' ?
In IT land is 'even' meestal toch behoorlijk verrekte lang, plak er maar 'even' een gemiddeld uurloon tegenaan om een idee te krijgen waarom veel mensen dit als tijdverspilling zouden zien.
Als ze het al kunnen begrijpen en kunnen dat even uitzoeken en even aanpassen.

Mostaertfox !
"Mostaert dienen als tvleesch gheten is" ?
Misschien helpt het nog wel een beetje, maar het blijft te laat.
En als je er naar verhouding te weinig van neemt heeft het geen nut.

Maar lekker is het zeker niet,
zo'n grote about:mosterd eetlepel puur naar binnen schuiven.
Dat doen er dus maar weinigen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.