Privatsphäre: Firefox 59 verschleiert auf Wunsch HTTP-Referrer

Mozilla wird im kommenden Firefox 59 den Privatsphären-Schutz um ein neues Feature erweitern. Unabhängig vom privaten Modus werden Nutzer damit künftig den vom Browser übermittelten HTTP-Referrer verschleiern können. Darauf basierende automatische Nutzeranalysen durch ... mehr... Browser, Firefox, Mozilla, Mozilla Firefox, Aktivitätenverfolgung Windows 8, Browser, Firefox, Firefox on Metro, Firefox Windows 8 Windows 8, Browser, Firefox, Firefox on Metro, Firefox Windows 8 Mozilla

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
https://wiki.mozilla.org/Security/Referrer
 
Habe probiert Cross-Origin Referer zu limitieren, und konnte spontan über ein dutzend Seiten nicht mehr benutzen. Unter anderem der Login im PlayStation Store ging nicht mehr.
 
@Zweitopf: Das ist klar, denn viele "Singe-Sign-On" Dienste laufen unter einer eigenen Domain (z.b. läuft bei Microsoft das "office365" auch noch über "microsoftonline.com") und verwenden den Referer um zumindest mal zu verifizieren, dass die "Login-Anfrage" von einer Seite im "angedachten Bereich" kommt.

Das ist aber nur ein "erster" Schritt, und mit Sicherheit keine alleinige Sicherheitsprüfung. - Aber als Programmierer würde ich hier auch (erstmal) sagen: Wenn der Referer nicht auf eine unserer Seiten zeigt, dann nazzen wir die Anfrage schonmal pauschal weg, GAR KEINE weitere Prüfung der Legitimität notwendig.)
 
@dognose: brauchen die aber unbedingt den exakten referrer oder reicht es da nicht eigentlich auch wenn die domain passt?
 
Häh? Kann das nicht jeder Browser?
Mein alter Opera hatte das schon vor einem Jahrzehnt.
 
@moribund: so siehts aus ...wenn die User aber schwinden muss man positv in die Presse kommen auch wenns nen alter Hut ist.

Ich bevorzuge aber nicht das abschalten sondern das faken ... füttern wir die Datenhaie mit Fakedaten bringt das viel mehr ... macht es doch ihre Datensammlungen unbrauchbar!

(Bei Referrern Cockies User Agents usw.)
 
@moribund: Zwischen können und benutzerfreundlich umsetzen gibts halt nen Unterschied.
 
@kkp2321: Und du meinst der Firefox ist der einzige der das benutzerfreundlich umsetzt?
Das zeigt nur dass du die Umsetzungen anderer Browser nicht kennst.

ZB beim von mir genannten Opera, der das seit einem Jahrzehnt so hat:
- Wenn du es allgemein deaktivieren willst klickst du in Einstellungen/Netzwerk die Box "Herkunft (Referrer) übertragen" weg.
Wenn du es nur auf einer bestimmten Website deaktivieren willst, rechtsklickst du direkt in dieser Seite und klickst in Website-Einstellungen/Netzwerk die Box "Herkunft (Referrer) übertragen" weg.
Jetzt erklär mal wie man das kundenfreundlicher umsetzen kann?
 
@moribund: Firefox hat es jetzt benutzerfreudnlich umgesetzt, was vorher über die about:config bereits möglich war.
 
@kkp2321: Ah, OK.
Hätte mich stark gewundert wenn er das nicht schon vorher gehabt hätte. ^^
 
@moribund: dafür gibt's auch schon ewig addons...
 
Das Problem mit dem Referrer ist, dass auch heute noch eine Menge Angebote eine korrekte Angabe benötigen, beispielsweise als einfach zu implementierenden Deep-Link-Schutz. Genau wie bei generell deaktivierten Cookies wird man also nicht allzu viel Spaß damit haben, die Funktion komplett global zu deaktivieren.
 
@NewRaven: Also ich habe seit einiger Zeit standardmäßig Cookies und Javascript deaktiviert und gebe es wo nötig für die betreffende Webseite frei.

Also ich fahre gut mit dieser Strategie.
 
@ibecf: Ist bei mir ebenso. Deshalb schrieb ich ja auch "global" bzw. "generell". Denn Firefox bringt bisher noch keine komfortable Möglichkeit mit, Scripte oder Cookies bei Bedarf zuzulassen. Bei Cookies musst du dir mit der Whitelist helfen, bei Scripten geht es ohne Erweiterung schlicht gar nicht. Das wird beim Referrer dann nicht anders sein - und damit ist auch die Neuerung selbst so halt nicht wirklich sinnvoll nutzbar.
 
@NewRaven: mit dem Firefox habe ich da keine aktuellen Erfahrungen, da ich mich von diesem schon vor ein paar Jahren verabschiedet habe.

Bei chrome habe ich js und cookies global deaktiviert und mache whitelisting. Das funktioniert ganz bequem.

Wenn ich js für eine Webseite freigegeben wurde, werden diese dann mit ublock und ScriptSafe feingefiltert.

Während der Anfang ziemlich mühselig war läuft ziemlich rund . Da die o.g Filter inzwischen ziemlich an mich angepasst sind und die Einstellungen, auch die der Erweiterungen, in der cloud gespeichert sind.
 
@NewRaven: reicht gegen deeplink schutz nicht ein domainreferrer aus? wenn das zeug von ner domain kommt die du okay findest dann okay, wenn nicht dann nicht.
 
@NewRaven: Deeplink-Schutz kannst auch serverseitig machen. Alle Aufrufe ohne aktuelle Session-ID werden zur Startseite geleitet und fertig. Ok ist etwas komplizierter, aber das Prinzip sollte klar sein.
 
"Während die Referrer-Links von Google, Bing und Facebook eher unproblematisch sind,"

Gerade die sind die grössten "Gangster"
 
@LastFrontier: das sind aber auch die, die am meißten mist blocken müssen...
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Philips Kids Leichtkopfhörer mit LautstärkebegrenzungPhilips Kids Leichtkopfhörer mit Lautstärkebegrenzung
Original Amazon-Preis
19,98
Im Preisvergleich ab
18,99
Blitzangebot-Preis
14,50
Ersparnis zu Amazon 27% oder 5,48