Xakep #305. Многошаговые SQL-инъекции
Разработчики браузера Firefox хотят защитить конфиденциальную информацию пользователей, ограничив содержимое заголовков HTTP Referer. Об этом рассказал Сид Стамм (Sid Stamm), один из сотрудников отдела Mozilla Security and Privacy.
Сид Стамм верно пишет, что с развитием интернет-технологий количество информации в поле HTTP Referer слишком сильно увеличилось, так что возникли определённые проблемы с приватностью. Сайту, на который пришёл пользователь, не всегда нужно знать, откуда именно он пришёл. В определённом контексте эту информацию вообще нежелательно разглашать. Когда опция включена, всегда есть определённый риск: а вдруг в URL попало имя пользователя или пароль?
Другими словами, заголовок HTTP Referer начал приносить больше проблем, чем пользы, поэтому пришло время усовершенствовать систему.
Чтобы исправить ситуацию, последняя версия Firefox 36 Beta теперь поддерживает новую функцию “meta referrer”. Она позволяет с помощью специального метатега устанавливать в HTML-документах разные правила для информации, которую браузеру следует включать в поле HTTP Referer.
Например, такой мета-тег.
<meta name="referrer" content="origin">
Он означает, что все заголовки будут избавлены от указания полного адреса документа, запроса или другой информации. Только название сайта.
Есть и другие параметры для настройки и частичной очистки «реферера».
Вдобавок, теперь в самом Firefox стало проще настраивать и ограничивать содержимое поля HTTP Referer.