信息來(lái)源:Freebuf
當(dāng)你在電腦網(wǎng)頁(yè)上瀏覽信息時(shí),輕輕點(diǎn)擊鼠標(biāo),發(fā)送一個(gè)訪問(wèn)請(qǐng)求,這時(shí)你的信息就已經(jīng)被對(duì)方獲取。
因?yàn)楫?dāng)你單擊鏈接從一個(gè)頁(yè)面跳轉(zhuǎn)到另一個(gè)頁(yè)面時(shí),對(duì)第二個(gè)頁(yè)面的請(qǐng)求包含一個(gè)HTTP header,它就是referrer(引用)。
“引用”里包含很多用戶隱私信息?!八涗浟擞脩粼谝镁W(wǎng)站上閱讀了哪些文章,甚至包括用戶在網(wǎng)站上的賬戶信息。”Mozilla安全團(tuán)隊(duì)的Dimi Lee和Christoph Kerschbaumer表示。
為了更好地保護(hù)用戶隱私,Mozilla 3月22日宣布,將在下一個(gè)web瀏覽器Firefox 87版本中,引入更加注重隱私保護(hù)的默認(rèn)引用政策(default Referrer Policy)。
更新后,瀏覽器將自動(dòng)過(guò)濾用戶敏感信息,例如引用網(wǎng)址中的訪問(wèn)路徑和查詢字符串信息。
而引用網(wǎng)址中包含的信息很容易被攻擊者利用。只要篩查內(nèi)部網(wǎng)絡(luò)服務(wù)器日志,你會(huì)發(fā)現(xiàn)引用網(wǎng)址中包含大量敏感信息,包括但不限于政府和企業(yè)內(nèi)部的主機(jī)信息。
如果攻擊者欺騙目標(biāo)訪問(wèn)服務(wù)器上的網(wǎng)站,那攻擊者就可以從網(wǎng)絡(luò)服務(wù)器的訪問(wèn)日志或分析軟件中獲取內(nèi)部名稱等敏感信息。
FireFox 87版本中更新的默認(rèn)引用政策
“新的默認(rèn)引用政策不僅會(huì)過(guò)濾從HTTPS到HTTP的請(qǐng)求信息,而且還會(huì)過(guò)濾所有跨源請(qǐng)求的路徑和查詢信息,”Dimi Lee和Christoph Kerschbaumer補(bǔ)充。
“Firefox將對(duì)所有導(dǎo)航請(qǐng)求、重定向請(qǐng)求和子資源請(qǐng)求(圖像、樣式、腳本)應(yīng)用新的默認(rèn)引用政策,提供更私密的瀏覽體驗(yàn)。”
在保護(hù)隱私方面,F(xiàn)iefox還做了很多嘗試。上一版本Firefox 86中加入了全插件保護(hù)政策(Total Cookie Protection),把每個(gè)網(wǎng)站的Cookie保存在一個(gè)單獨(dú)的“Cookie jar”中,防止網(wǎng)絡(luò)追蹤者掌握用戶的網(wǎng)絡(luò)活動(dòng)。
從85版本開始,F(xiàn)irefox增加了超級(jí)插件保護(hù)功能,通過(guò)隔離每個(gè)訪問(wèn)網(wǎng)站的緩存和網(wǎng)絡(luò)連接,阻止追蹤者跨網(wǎng)站追蹤用戶。