Firefox 59的隱私瀏覽模式將移除HTTP參照值參數以免外洩用戶隱私
從Firefox 59版開始,在隱私瀏覽(Private Browsing)模式下,Firefox將會移除參照值(Referrer Value)裡的路徑資訊,只留下單純的網域名稱,避免網頁用Get方法傳值時,把使用者的隱私資訊洩漏給第三方。
當使用者在瀏覽器中點擊連結瀏覽新網站時,瀏覽器會傳送使用者上一個瀏覽網址給下一個網站,這項值稱為參照值。參照值可以讓網站經營者了解,自家網路流量來自哪些地方。而更進一步,網站內嵌的附屬內容,諸如廣告以及其他社交多媒體片段等,也都可以拿到這項資訊。
多數的網站拿參照值做營運或是統計之用,也有不少網站會盡可能的蒐集使用者的所有資訊,再將這些資訊轉售給再行銷服務。
不過,美國電子前線基金會(Electronic Frontier Foundation,EFF)就曾揭露,參照值有機會洩漏使用者個人隱私資訊,EFF研究員提到,美國的健保網站healthcare.gov過去就曾發生這樣的問題。
不少網站取得的參照值會像美國健保網站過去的網址,網域名稱後附帶多項參數
這樣的參照值洩漏了年齡、郵遞區號,抽菸習慣甚至是收入水準,當這些敏感資訊被販售給保險公司等,或做為特定用途,將對使用者造成利益損害。
而Firefox 59版的隱私瀏覽模式傳遞參照值時,便會將網址資訊中的參數資訊移除,只留下網域部分,以避免使用者隱私資訊不小心洩漏給第三方的問題。
Firefox強化隱私瀏覽模式安全性,移除HTTP參照位址以防資料外洩
即便在隱私瀏覽模式中,還是可能因為HTTP參照位址的關係,造成使用者的部分個人敏感資料,由嵌入網頁的第三方服務不慎外洩的資安風險,為了要避免這種情況發生,Mozilla在Firefox 59更新中,移除隱私瀏覽模式中第三方的HTTP參照位址資訊,來避免資料外洩的情況發生。
網址中可能含有敏感資料
當使用者點擊網頁中的連結時,瀏覽器就會連接到新的網頁,而新開啟的網頁也會收到1組參考資訊,其中包含使用者原本所在的來源網頁。舉例來說,如果讀者從Facebook粉絲團點擊電腦王網頁連結,那麼電腦王網頁就能知道,這位使用者是由Facebook粉絲團進入。
而這個來源網頁的資訊,稱為HTTP參照位址(HTTP Referer),它是HTTP表頭的欄位之一。有趣的是,「介紹人」的正確英文拼法為Referrer,但是因為早期HTTP規範誤拼為Referer,於是為了顧及相容性,於是就將錯就錯,但如DOM Level 2、Referrer Policy等範曾試圖修正拼字問題,造成前拼法並不統一。
然而這個功能可能會將使用者的資料洩露給網站,雖然在從表面看來,只是單純讓新網頁能知道使用者是由哪個網頁中的連結連入,但是糟糕的是,瀏覽器也會將資料傳送給廣告商、社群媒體等網站,換句話說許多嵌入網頁的物件也能掌握使用者在網路上的動向。
大部份的網站經營者都會記錄HTTP參照位址資料,做為營運與流量分析的參考數據,而有些經營者也可能將這些資料出售給廣告商。
網站的設計者可能希望透過網址來傳送使用者基本資料,所以把年齡、是否吸煙、是否懷孕、郵遞區號,甚至是收入等資訊都列入網址後方的查詢字串(Query Sstring)。所以使用者從這個網頁連結到其他網頁後,可能造成這些資料會成為HTTP參照位址,而被其他網頁或第三方服務擷取。
為了避免這種資料外洩的情況發生,Firefox在第59版中改善了隱私瀏覽模式的設計,瀏覽器將不再傳送完整網址作為HTTP參照位址,而會剔除相對路徑與查詢字串
如果使用者也想在一般瀏覽模式中防止HTTP參照位址衍生的風險的話,可以參考官方提供的參數說明,在Firefox瀏覽器的網址列輸入「about:config」,將「network.http.referer.XOriginTrimmingPolicy」項目參數調整為1或2,或是依照個人喜好調整其他設定參數。
