Lorsque vous vous rendez sur un site, ce dernier récupère l'adresse de la page dont vous venez : le « referer ». Une information transmise le plus souvent à des fins statistiques, mais qui peut poser problème dans certains cas.
Car cette information est aussi envoyée lors des requêtes effectuées pour constituer une page, parfois à des tiers n'ayant qu'un objectif : le tracking publicitaire ou la récolte de données (voir notre analyse). L'URL peut dans certains cas leur dévoiler des informations sensibles.
L'EFF évoquait en 2015 une fuite importante par ce biais à travers un site gouvernemental américain, mais des traces du souci ont été trouvées chez Facebook ou encore Dropbox par le passé.
Mozilla a donc décidé de revoir un peu les choses au sein de Firefox 59, qui doit arriver en mars prochain. Lors d'une navigation privée, seul l'élément de base de l'URL sera ainsi diffusé à des tiers (via strict-origin-when-cross-origin) :
URL de la page :
https://www.healthcare.gov/see-plans/85601/results/?county=04019&age=40&smoker=1
Information envoyée au tiers :
https://www.healthcare.gov/
Il n'est pas prévu pour le moment d'étendre ce comportement à la navigation classique. Les utilisateurs qui le souhaitent peuvent cependant modifier les paramètres de gestion du referer, notamment network.http.referer.userControlPolicy, en le plaçant sur 2 par exemple. Il est accessible via le panneau about:config du navigateur (à taper dans la barre d'adresse).
Commentaires (12)
#1
Et globalement, ça changerait quoi de le rendre comme cela par défaut ?
Pour reverser des revenus ou autre, seul le domaine est important, non ?
#2
Je n’ai pas compris à quoi correspondait la valeur 2 dans l’exemple.
S’agit-il du comportement par défaut (qui transmet toute l’url) ? Ou cela permet de forcer la césure en navigation classique ?
L’idéal serait une valeur qui interdit le passage du referer, qu’elle que soit le mode de navigation. Je n’ai personnellement rien à gagner à dire au site X que j’étais sur le site Y avant de venir le voir…
Je suppose qu’il existe des extensions pour le rendre muet, mais un comportement natif (avec option) serait bien plus pratique.
#3
Passer la valeur à 0, et plus de referer.
#4
Hop, modifié, merci
" />
Tu sais si c’est pris en compte dans tous les modes de navigation ?
#5
Nextimpact n’a aucun intérêt à dire de passer à 0, vu que ca retirerai tout le bénéfice qu’ils peuvent avoir en cas d’affiliation.
(Ce n’est pas une critique, il faut bien que le site ait un revenu)
#6
Il n’y a que moi qui utilise la molette de souris pour ouvrie un lien ?
#7
Ca change quelque chose au niveau du referer ?
#8
#9
#10
#11
#12
Tout les réglages sont expliqués ici :https://wiki.mozilla.org/Security/Referrer