Firefox 59 sera plus strict sur la mention du referer en navigation privée
Le 02 février 2018 à 09h23
2 min
Logiciel
Logiciel
Lorsque vous vous rendez sur un site, ce dernier récupère l'adresse de la page dont vous venez : le « referer ». Une information transmise le plus souvent à des fins statistiques, mais qui peut poser problème dans certains cas.
Car cette information est aussi envoyée lors des requêtes effectuées pour constituer une page, parfois à des tiers n'ayant qu'un objectif : le tracking publicitaire ou la récolte de données (voir notre analyse). L'URL peut dans certains cas leur dévoiler des informations sensibles.
L'EFF évoquait en 2015 une fuite importante par ce biais à travers un site gouvernemental américain, mais des traces du souci ont été trouvées chez Facebook ou encore Dropbox par le passé.
Mozilla a donc décidé de revoir un peu les choses au sein de Firefox 59, qui doit arriver en mars prochain. Lors d'une navigation privée, seul l'élément de base de l'URL sera ainsi diffusé à des tiers (via strict-origin-when-cross-origin) :
URL de la page :
https://www.healthcare.gov/see-plans/85601/results/?county=04019&age=40&smoker=1
Information envoyée au tiers :
https://www.healthcare.gov/
Il n'est pas prévu pour le moment d'étendre ce comportement à la navigation classique. Les utilisateurs qui le souhaitent peuvent cependant modifier les paramètres de gestion du referer, notamment network.http.referer.userControlPolicy, en le plaçant sur 2 par exemple. Il est accessible via le panneau about:config du navigateur (à taper dans la barre d'adresse).
Le 02 février 2018 à 09h23
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/02/2018 à 10h00
Et globalement, ça changerait quoi de le rendre comme cela par défaut ?
Pour reverser des revenus ou autre, seul le domaine est important, non ?
Le 02/02/2018 à 10h44
Je n’ai pas compris à quoi correspondait la valeur 2 dans l’exemple.
S’agit-il du comportement par défaut (qui transmet toute l’url) ? Ou cela permet de forcer la césure en navigation classique ?
L’idéal serait une valeur qui interdit le passage du referer, qu’elle que soit le mode de navigation. Je n’ai personnellement rien à gagner à dire au site X que j’étais sur le site Y avant de venir le voir…
Je suppose qu’il existe des extensions pour le rendre muet, mais un comportement natif (avec option) serait bien plus pratique.
Le 02/02/2018 à 11h28
Passer la valeur à 0, et plus de referer.
Le 02/02/2018 à 11h33
Hop, modifié, merci
" />
Tu sais si c’est pris en compte dans tous les modes de navigation ?
Le 02/02/2018 à 13h15
Nextimpact n’a aucun intérêt à dire de passer à 0, vu que ca retirerai tout le bénéfice qu’ils peuvent avoir en cas d’affiliation.
(Ce n’est pas une critique, il faut bien que le site ait un revenu)
Le 02/02/2018 à 14h36
Il n’y a que moi qui utilise la molette de souris pour ouvrie un lien ?
Le 02/02/2018 à 14h56
Ca change quelque chose au niveau du referer ?
Le 02/02/2018 à 14h59
Le 02/02/2018 à 20h10
Le 04/02/2018 à 14h00
Le 04/02/2018 à 20h40
Le 07/02/2018 à 17h06
Tout les réglages sont expliqués ici :https://wiki.mozilla.org/Security/Referrer