WBCE Home | WBCE Hilfe | WBCE Addon Repository | Impressum | Datenschutz

WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

#1 28.11.2018 19:31:34

orangutanklaus
Member

Leaking Referers in den Griff kriegen

Hallo,

wie schalte ich "Leaking Referers" aus?

Wenn ich meine Website durch das Analysetool webskoll.dataskydd.net schicke erhalte ich folgenden nett formulierten und ausführlichen Hinweis:

Referrers leaked

When you click a link, your browser will typically send the HTTP referer [sic] header to the webserver where the destination webpage is at. The header contains the full URL of the page you came from. This lets sites see where traffic comes from. The header is also sent when external resources (such as images, fonts, JS and CSS) are loaded.

The referrer header is privacy nightmare as it allows websites and services to track you across the web and learn about your browsing habits (and thus possibly private, sensitive information), particularly when combined with cookies.

Let's say you're logged in on Facebook. You visit a page with the URL http://www.some-hospital.com/some-medical-condition. On that page, you click a link to their Facebook page. Your browser then sends Referer: http://www.some-hospital.com/some-medical-condition to facebook.com, along with your Facebook cookies, allowing Facebook to associate your identity with that particular page.

The problem is made worse by the fact that many websites load resources like images and scripts from dozens of third-parties, sending referrer information to all of them, with the typical visitor having no idea that this is happening.

Thanks to a fairly recent development, Referrer Policy, it's finally possible for websites to tell browsers to not leak referrers. It lets you specify a policy that's applied to all links clicked, as well as all other requests generated by the page (images, JS, etc.).

A few different policies are offered, such as origin (strips everything except the origin) and origin-when-cross-origin (sends full URL with same-origin requests, otherwise stripped). We recommend no-referrer, which kills the referrer header entirely for all requests, no matter the destination; or same-origin, which kills the referrer for third-party requests but not for requests to the same origin.

A referrer policy can easily be set with a <meta> element in your HTML. Simply include this inside the <head> section:

<meta name="referrer" content="no-referrer">

While still a work in progress, Referrer Policy is now supported by all major browsers (except Internet Explorer, although it is supported by Edge, the new browser in Windows 10).

Ich verstehe es so das meine Website allen, die meine Seite verlassen, mitteilt, dass sie gerade von www.meinewebsite.de kommen. Und das ist datenschutzrechtlich gruselig und soll abgestellt werden. Stimmt das?

Der Passus mit Bringen sie <meta name=referrer" content="no-referrer"> in den Header ein ist nett, ich weiss aber nicht wo ich es eintragen soll.

Version 1

Ich habe das Modul Simplepagehead gefunden. Leider habe ich da keine Möglichkeit gefunden, diesen meta-tag dort mit einzubringen.

Version 2

Ich habe in meine .htaccess im Stammverzeichnis den  Eintrag

<IfModule mod_header.c>
    # Add security and privacy related headers
    Header set Referrer-Policy "no-referrer"
  </IfModule>

vorgenommen. Wenn ich mit danach meine Website ansehe und den <head> durchscrolle hätte ich erwartet, dort irgend einen Eintrag mit REFERER zu finden. Ich finde aber nichts.

Bin ich auf dem richtigen Weg?
Wie kriege ich den Tag dort rein?

Offline

#2 28.11.2018 19:42:46

orangutanklaus
Member

Re: Leaking Referers in den Griff kriegen

Ha, wie immer: Sobald man einen Beitrag schreibt hat man die Lösung. Ich habe es jetzt in /templates/lesefaken/index.php eingetragen.  Das funktioniert. Kann der dort bleiben?

<head>
	<?php
	$includefile = WB_PATH . '/modules/wbstats/count.php';
	if (file_exists($includefile)) {
		include_once $includefile;
	}
	if (function_exists('simplepagehead')) {
		simplepagehead('/', 1, 0, 1);
	}
	?>
	<meta name="referrer" content="no-referrer">
	<meta name="viewport" content="width=device-width, initial-scale=1.0, user-scalable=yes">

Offline

#3 28.11.2018 21:05:50

florian
Projektmanagement und Support WBCE CMS

Re: Leaking Referers in den Griff kriegen

Kann der dort bleiben?

Ja.

Ansonsten kann ich nicht viel dazu sagen. Dass der "Referrer" übermittelt wird, ist etwa seit 1993 so.

Offline

#4 28.11.2018 21:57:39

grindmobil
Member

Re: Leaking Referers in den Griff kriegen

Neue gefahren im Internet.
Typisch #neuland
Oder stelle auf HTTPS um.

Offline

#5 28.11.2018 22:01:21

mrbaseman
Developer

Re: Leaking Referers in den Griff kriegen

Für Firefox gibt es Clientseitig einige Addons um dem Problem Herr zu werden, wobei einige mit der aktuellen Quantum (60.x) Releaseserie leider nicht mehr funktionieren.

Das ganze Serverseitig anzugehen ist natürlich ein löblicher Ansatz, als User würde ich mich aber nicht darauf verlassen, dass alle Webseitenbetreiber da mitmachen,  insbesondere die großen Konzerne die davon leben, genau solche Informationen aufzubereiten und an Werbekunden zu verkaufen.

Zurück zum Thema wie man es umsetzt: Der pragmatische Weg ist natürlich das einfach ins Template mit einzutragen. Das darf man dann bei einem eventuellen Update des Templates nur nicht vergessen in der neuen Version wieder einzutragen.

Gab's da eigentlich nicht eine globale Einstellung, in der man eigene Header definieren konnte? Ansonsten würde das glaube ich ganz gut zu dem Filtermodul für die Security Header passen. Kann ich dort als weitere Option mal mit aufnehmen. Dann hätten wir zumindest eine Lösung für künftige WBCE Releases

Offline

Liked by:

florian

Board footer

Powered by FluxBB

up