Defaults.Exposed › Opravy › Referrer-Policy

Ako opraviť Referrer-Policy

Referrer-Policy je jednoriadková inštrukcia, ktorú váš web odovzdáva prehliadaču každého návštevníka, kontrolujúc, koľko vašej webovej adresy cestuje s nimi, keď kliknú na odkaz na inú stránku. Bez nej je plná adresa ktorejkoľvek stránky, na ktorej boli — vyhľadávacie výrazy, čísla účtov, resetovacie odkazy, cesty interných stránok a všetko ostatné — ticho odovzdaná nasledujúcej stránke, na ktorú pristanú, vrátane inzerentov, analytických firiem a kdekoľvek inam, kam odkaz ukazuje.

Podstata pre vaše podnikanie: Zakaždým, keď návštevník klikne na odchádzajúci odkaz, reklamu alebo zdieľaný zdroj, ich prehliadač môže odovzdať plnú adresu vašej stránky cieľu — a ak vaše adresy nesú vyhľadávacie dotazy, ID zákazníkov, čísla objednávok alebo jednorazové odkazy, unikajú zákaznícke dáta tretím stranám, ktoré nekontrolujete. To je problém ochrany dát, ktorý regulátori berú vážne, ticho porušený súkromný prísľub a hodnotená medzera, ktorú bezpečnostný tím klienta označí počas due diligence.

Čo vás to môže stáť

Zákazník vyplní formulár alebo spustí vyhľadávanie, potom klikne na odchádzajúci odkaz alebo reklamu — a adresa stránky, úplná s tým, čo napísali, je odovzdaná priamo inzerentovi alebo analytickej firme, s ktorou ste nikdy nemali v úmysle to zdieľať.
Resetovacie heslá a potvrdzujúce odkazy účtu niekedy nesú tajný token v webovej adrese; bez tejto hlavičky môže kliknutie na akýkoľvek odkaz na tejto stránke odovzdať celú adresu — vrátane tokenu — externej stránke.
Súkromné cesty interných stránok (administratívne oblasti, stránky len pre zákazníkov, cenové úrovne, dokumentové odkazy) sú odhalené každej tretej strane, cez ktorú návštevníci klikajú, čo konkurentom a špiónmi poskytuje mapu vašej stránky, ktorú by nikdy nemali vidieť.
Bezpečnostná kontrola klienta alebo auditovanie súkromia skenuje vašu stránku, nevidí žiadny Referrer-Policy a zaznamenáva to ako zlyhanie minimalizácie dát — druh nálezu, ktorý zastavuje zmluvu alebo certifikáciu.
Osobné dáta skončia v rukách spracovateľov, s ktorými nemáte žiadnu dohodu, pričom päťminútové prehliadnutie premení na reportovateľné porušenie ochrany dát.

Prečo na tom záleží. Prehliadače, ponechané na vlastnú päsť, sú zhovievavé: predvolene hovoria nasledujúcej webovej stránke, odkiaľ návštevník prišiel, vrátane často plnej adresy stránky. Pre brožúrovú stránku to môže byť neškodné, ale akonáhle vaše adresy obsahujú čokoľvek osobné — vyhľadávací výraz, ID objednávky, e-mail v odkaze, súkromnú cestu — toto predvolené nastavenie to ticho uniká externým stranám. Referrer-Policy je jedno nastavenie, ktoré hovorí prehliadačom, aby prestali prezdieľavať. Je to hodnotená kontrola na vašom skóre stojaca za skutočné body, priamo mapuje povinnosti minimalizácie dát podľa zákona o súkromí a je to jedna zo štandardných bezpečnostných hlavičiek, ktorú každá profesionálna kontrola očakáva nájsť.

Čo to je, v jednoduchých slovách

Zakaždým, keď návštevník na vašej webovej stránke klikne na odkaz na inú stránku — odchádzajúci odkaz, reklamný banner, “zdieľajte toto”, dokonca aj písmo alebo obrázok načítaný odkiaľ inam — ich prehliadač ticho pripojí poznámku, hovoriac, z ktorej vašej stránky prišiel. Táto poznámka sa nazýva referrer.

Používaný rozumne, referrer je neškodný a dokonca užitočný: je to spôsob, akým iné stránky vedia, že prevádzka prišla od vás, a napája veľa poctivých analýz. Úlovok je v predvolenom správaní. Ponechaný nespravovaný, prehliadač nehovorí len “prišli z vasafirma.com” — často odovzdá plnú adresu presnej stránky, vrátane všetkého za doménovým menom. A webové adresy nesú oveľa viac, než ľudia uvedomujú: vyhľadávacie výrazy napísané do vašej stránky, čísla objednávok a účtov, cestu k súkromnej stránke len pre členov, dokonca aj jednorazové tajné tokeny v odkazoch na resetovanie hesla a potvrdenie.

Referrer-Policy je jednoduchá inštrukcia, ktorú váš web posiela prehliadaču, hovoriac, koľko z tejto poznámky smie zdieľať. Môžete mu povedať, aby zdieľal len vaše doménové meno, len na iné stránky na vašej vlastnej stránke alebo nič vôbec.

Čo vás to môže stáť

Tu sú konkrétne, každodenné spôsoby, akým chýbajúci alebo permisívny Referrer-Policy zahryzne skutočných firiem. Žiadna z toho nevyžaduje hackera — stáva sa to automaticky, každý deň, pri bežnom používaní.

Uniknuté vyhľadávanie. Zákazník vyhľadáva na vašej stránke niečo citlivé — lekársky produkt, službu súvisiacu s dlhom, porovnanie konkurentov — a vyhľadávací výraz pristane v adrese stránky. Potom kliknú na odchádzajúci odkaz alebo reklamu na tej stránke výsledkov. Inzerent teraz dostane vašu adresu s vyhľadávacím výrazom v nej, dozvedajúc sa presne, čo váš zákazník hľadal. Nikdy ste nesúhlasili s tým zdieľaním a nemôžete ho vziať späť.
Odhalený resetovací odkaz. Mnohé systémy vkladajú tajný jednorazový token do adresy stránok na resetovanie hesla, potvrdenie e-mailu alebo “magické prihlásenie”. Ak táto stránka obsahuje akýkoľvek odchádzajúci odkaz alebo zdroj tretej strany, plná adresa — vrátane tokenu — môže byť odovzdaná externej stránke. V najhoršom prípade to odovzdá tretej strane kľúče k účtu.
Mapa stránky, ktorú ste zadarmo rozdali. Vaše interné cesty stránok často odhaľujú vašu štruktúru: /admin, /enterprise-pricing, /clients/acme, /downloads/private-report. Bez tejto hlavičky každá externá stránka, cez ktorú vaši návštevníci klikajú, dostáva tieto cesty.
Nechcený vzťah zdieľania dát. Zákon o súkromí od vás očakáva, že viete, kam idú osobné dáta vašich zákazníkov a že máte dohodu na mieste. Unikanie adries stránok, ktoré obsahujú ID zákazníkov alebo e-mailové adresy reklamným sieťam a analytickým firmám — bez žiadnej dohody a súhlasu — je presne druh nekontrolovaného toku dát, ktorý premení rutinný audit na nález.
Obchod, ktorý viazne na due diligence. Keď väčší klientov bezpečnostný tím preveruje vás, chýbajúce štandardné bezpečnostné hlavičky sú rýchla, automatizovaná kontrola. Vidieť Referrer-Policy chýbajúcu im hovorí, že základná hygiena ochrany súkromia nebola nikdy nastavená.

Čo to v skutočnosti je

Predvolene prehliadače nasledujú správanie zhruba ekvivalentné “strict-origin-when-cross-origin” na moderných verziách — ale nemôžete sa na to spoliehať, pretože staršie prehliadače, zabudované webviews a určité konfigurácie stále vychádzajú na viac unikanie. Jediný spôsob, ako si byť istý, je nastaviť politiku explicitne. Keď to urobíte, vyberú si jedno pravidlo z krátkeho zoznamu:

no-referrer — nezdieľajte nič. Nasledujúca stránka sa nedozvie nič o tom, odkiaľ návštevník prišiel. Maximálne súkromie; môže utlmiť referralové analýzy.
same-origin — zdieľajte plnú adresu len keď návštevník sa pohybuje medzi stránkami na vašej vlastnej stránke; nezdieľajte nič s externými stránkami.
strict-origin-when-cross-origin — odporúčané predvolené nastavenie. V rámci vašej vlastnej stránky je zdieľaná plná cesta; externým stránkam je zdieľané len vaše holé doménové meno (a nič vôbec pri prechode zo zabezpečenej stránky na nezabezpečenú). Externé strany sa dozvedia, že prevádzka prišla od vás, ale nikdy súkromné detaily za vašou doménou.
origin — vždy zdieľajte len vaše doménové meno, dokonca aj v rámci vašej vlastnej stránky.

A dve hodnoty, ktorých sa treba vyhnúť, pretože skóre ich rovnaké ako nemanie žiadnej hlavičky vôbec:

unsafe-url — zdieľajte plnú adresu s každým, vždy. Toto je najhorší prípad v jednom slove.
no-referrer-when-downgrade — starý predvolený prehliadač; stále posiela plnú adresu iným bezpečným stránkam, unikajúc všetko opísané vyššie.

Ako vyzerá ‘dobré’ nastavenie: hlavička Referrer-Policy je prítomná a nastavená na obmedzujúcu hodnotu — pre väčšinu firiem, strict-origin-when-cross-origin.

Ako to opraviť (zadarmo, asi 5 minút)

Odovzdajte túto sekciu vášmu IT pracovníkovi, webovému vývojárovi alebo podpore hostingu — oprava je zadarmo, je to jeden riadok a nič na vašej stránke neporuší.

Cieľ: nastaviť hlavičku odpovede Referrer-Policy s hodnotou strict-origin-when-cross-origin.

Cloudflare (žiadny kód — najjednoduchší ak ho používate): Dashboard → vaša doména → Pravidlá → Transformovať pravidlá → Upraviť hlavičku odpovede → Vytvoriť pravidlo → Nastaviť statické → Názov hlavičky Referrer-Policy, hodnota strict-origin-when-cross-origin → aplikovať na všetky prichádzajúce požiadavky → Nasadiť.

Nginx:

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

Apache (v konfigurácii stránky alebo .htaccess):

Header always set Referrer-Policy "strict-origin-when-cross-origin"

IIS (web.config):

<httpProtocol><customHeaders>
  <add name="Referrer-Policy" value="strict-origin-when-cross-origin" />
</customHeaders></httpProtocol>

Node / Express:

app.use((req, res, next) => { res.setHeader('Referrer-Policy', 'strict-origin-when-cross-origin'); next(); });

Po aplikovaní: načítajte svoju stránku a znovu spustite kontrolu, alebo použite nástroje pre vývojárov vášho prehliadača (záložka Sieť → kliknite na hlavný dokument → Hlavičky odpovede) a potvrďte, že Referrer-Policy: strict-origin-when-cross-origin je prítomný.

Bežné chyby

Nastavenie permisívnej hodnoty a predpokladanie, že sa to počíta. unsafe-url a no-referrer-when-downgrade stále unikanejú plnú adresu. Šablóna skóre ich hodnotí nula — identické ako nemanie žiadnej hlavičky.
Nastavenie len na domovskej stránke. Hlavička by mala byť odoslaná na každej stránke, pretože k úniku dochádza na vyhľadávacích výsledkoch, účtovných a resetovacích stránkach — nie na domovskej stránke. Nastavte ju na serveri, CDN alebo Cloudflare, aby platila na celej stránke automaticky.
Nastavenie len v HTML tagoch <meta>. Tag <meta name="referrer"> funguje pre niektoré prípady, ale nie všetky a je ľahký na nekonzistentnosť naprieč stránkami. Nastavenie ako správnej hlavičky odpovede je spoľahlivý prístup.
Nechanie jednej vrstvy prepísať inú. Ak váš pôvodný server aj vaša CDN nastavujú hlavičku s rôznymi hodnotami, výsledok môže byť nepredvídateľný. Vyberte jedno miesto na jej správu.
Zaobchádzanie s ňou ako s náhradou za vyňatie dát z URL. Hlavička obmedzuje škodu, ale čistejší dlhodobý zvyk je nevkladať tajomstvá a osobné dáta do webových adries na prvom mieste.

Stručne

Referrer-Policy je najlacnejšia, najbezpečnejšia oprava ochrany súkromia na vašej šablóne skóre: jeden riadok, asi päť minút, žiadne riziko prerušenia čohokoľvek a zadarmo. Zabraňuje prehliadačom vašich návštevníkov ticho odovzdávať vaše súkromné adresy stránok — a akékoľvek osobné dáta, ktoré obsahujú — každej externej stránke, cez ktorú klikajú. Nastavte ju na strict-origin-when-cross-origin, potvrďte, že je aktívna na každej stránke a stredne závažná medzera a jej 15 bodov sú uzatvorené.

FAQ

Nie som technicky zdatný — je to niečo, čo môžem skutočne vyriešiť?

Áno a je to jedna z najjednoduchších opráv na celej šablóne skóre. Je to jeden riadok pridaný tým, kto spravuje váš web alebo hosting, a na službách ako Cloudflare sú to pár kliknutí bez kódu vôbec. Odovzdajte im sekciu 'Ako to opraviť' nižšie. Je zadarmo, trvá asi päť minút a na rozdiel od niektorých bezpečnostných nastavení nič na vašej stránke neporuší.

Čo 'referrer' tu vlastne znamená?

Keď niekto klikne na odkaz z vašej stránky na inú webovú stránku, ich prehliadač pošle poznámku, hovoriac, z ktorej stránky prišli — táto poznámka sa nazýva referrer. Je to skutočne užitočné pre poctivé analýzy. Problémom je, že predvolene poznámka často obsahuje vašu plnú adresu stránky, nielen vaše doménové meno. Ak táto adresa obsahuje čokoľvek súkromné, zdieľa sa tiež. Referrer-Policy vám umožňuje oseknúť poznámku na len vaše doménové meno alebo ju vypnúť.

Stojí za to sa tým zaoberať, ak naša stránka nespracováva platby?

Takmer určite áno. Nepotrebujete pokladňu, aby ste mali súkromné informácie vo webových adresách — vyhľadávacie polia, kontaktné formuláre, účtovné stránky, dokumentové odkazy a e-maily na resetovanie hesiel rutinne vkladajú dáta do adresného riadku. A dokonca aj bez akýchkoľvek osobných dát vôbec, unikanie vašich interných ciest stránok každej externej stránke, cez ktorú vaši návštevníci klikajú, dáva konkurentom a robotom zadarmo mapu vašej stránky.

Mohlo by to zapnutie poškodiť moju stránku alebo moje analýzy?

Nie. Toto je jedna z bezpečných hlavičiek — iba kontroluje, koľko detailov adresy je zdieľaných s inými stránkami, nie či odkazy fungujú. Odporúčané nastavenie stále posiela vaše doménové meno externým stránkam, takže legitímne referralové analýzy naďalej fungujú; len zabraňuje, aby plná súkromná adresa šla s ním.

Je to problém so zákonom o ochrane súkromia alebo len niečo, čo sa hodí?

Môže to byť skutočný problém so zákonom. Pravidlá ochrany dát vyžadujú, aby ste zbierali a zdieľali len minimálne potrebné osobné dáta a aby ste vedeli, kam vaše dáta idú. Ak vaše adresy nesú osobné identifikátory a unikajú ich inzerentom alebo analytickým firmám bez žiadnej dohody na mieste, je to zlyhanie minimalizácie dát, ktoré audítori a regulátori rozpoznávajú.

Ovplyvňuje to naše hodnotenie alebo je to len poradenstvo?

Ovplyvňuje vaše hodnotenie. Kontrola Referrer-Policy je hodnotená a stojí až 15 bodov v kategórii Webová bezpečnosť. Chýbajúca hlavička je označená ako stredná závažnosť. Poznamenajte si jednu pascu: nastavenie hlavičky na permisívnu hodnotu ako 'unsafe-url' alebo 'no-referrer-when-downgrade' skóre nula — rovnaké ako nemať žiadnu hlavičku vôbec — pretože tieto hodnoty stále unikanejú plnú adresu.