因为当你单击链接从一个页面跳转到另一个页面时,对第二个页面的请求包含一个HTTP header,它就是referrer(引用)。
“引用”里包含很多用户隐私信息。“它记录了用户在引用网站上阅读了哪些文章,甚至包括用户在网站上的账户信息。”Mozilla安全团队的Dimi Lee和Christoph Kerschbaumer表示。
为了更好地保护用户隐私,Mozilla 3月22日宣布,将在下一个web浏览器Firefox 87版本中,引入更加注重隐私保护的默认引用政策(default Referrer Policy)。
更新后,浏览器将自动过滤用户敏感信息,例如引用网址中的访问路径和查询字符串信息。
而引用网址中包含的信息很容易被攻击者利用。只要筛查内部网络服务器日志,你会发现引用网址中包含大量敏感信息,包括但不限于政府和企业内部的主机信息。
如果攻击者欺骗目标访问服务器上的网站,那攻击者就可以从网络服务器的访问日志或分析软件中获取内部名称等敏感信息。
FireFox 87版本中更新的默认引用政策
“新的默认引用政策不仅会过滤从HTTPS到HTTP的请求信息,而且还会过滤所有跨源请求的路径和查询信息,”Dimi Lee和Christoph Kerschbaumer补充。
“Firefox将对所有导航请求、重定向请求和子资源请求(图像、样式、脚本)应用新的默认引用政策,提供更私密的浏览体验。”
在保护隐私方面,Fiefox还做了很多尝试。上一版本Firefox 86中加入了全插件保护政策(Total Cookie Protection),把每个网站的Cookie保存在一个单独的“Cookie jar”中,防止网络追踪者掌握用户的网络活动。
从85版本开始,Firefox增加了超级插件保护功能,通过隔离每个访问网站的缓存和网络连接,阻止追踪者跨网站追踪用户。