מדיניות ברירת מחדל חדשה לגורם מפנה ב-Chrome – strict-origin-when-cross-origin

Maud Nalpas
Maud Nalpas
X GitHub

לפני שמתחילים:

  • לא בטוחים מה ההבדל בין 'אתר' לבין 'מקור'? כדאי לעיין במאמר הסבר על 'באותו אתר' ו'באותו מקור'.
  • בכותרת Referer חסר R, בגלל שגיאת איות במפרט המקורי. ההגייה של הכותרת Referrer-Policy ושל referrer ב-JavaScript וב-DOM נכונה.

סיכום

  • הדפדפנים מתפתחים לכיוון מדיניות ברירת מחדל של גורמים מפנים לשיפור הפרטיות, כדי לספק חלופה טובה במקרים שבהם לא מוגדרת מדיניות באתר.
  • אנחנו מתכננים להפעיל בהדרגה את strict-origin-when-cross-origin כמדיניות ברירת המחדל ב-Chrome 85. הדבר עשוי להשפיע על תרחישי שימוש שמסתמכים על ערך הגורם המפנה ממקור אחר.
  • זוהי ברירת המחדל החדשה, אבל בעלי אתרים עדיין יכולים לבחור מדיניות לפי בחירתכם.
  • כדי לנסות את השינוי ב-Chrome, מפעילים את הדגל בקטע chrome://flags/#reduced-referrer-granularity. אפשר גם לצפות בהדגמה הזו כדי לראות את השינוי בפעולה.
  • בנוסף למדיניות בנושא גורמים מפנים, יכול להיות שגם האופן שבו הדפדפנים מטפלים בגורמים מפנים ישתנה, לכן חשוב לעקוב אחריו.

מה משתנה ומדוע?

בקשות HTTP יכולות לכלול את הכותרת Referer, שמציינת את המקור או את כתובת ה-URL של דף האינטרנט שממנו נשלחה הבקשה. הכותרת Referer-Policy קובעת אילו נתונים יהיו זמינים בכותרת Referer, ולניווט ולתגי iframe ב-document.referrer של היעד.

המידע שנשלח בכותרת Referer בבקשה מהאתר שלכם נקבע לפי הכותרת Referrer-Policy שהגדרתם.

תרשים: הגורם מפנה שנשלח בבקשה.
Referrer-Policy ו-Referer.

אם לא מוגדרת מדיניות, המערכת משתמשת בברירת המחדל של הדפדפן. אתרים רבים משתמשים כברירת מחדל בדפדפן.

בתפריטי הניווט ובפריטי iframe, אפשר לגשת לנתונים שמופיעים בכותרת Referer גם באמצעות JavaScript באמצעות document.referrer.

עד לאחרונה, no-referrer-when-downgrade הייתה מדיניות ברירת מחדל נפוצה בדפדפנים. אבל עכשיו דפדפנים רבים נמצאים בשלב כלשהו של מעבר להגדרות ברירת מחדל שמגנות יותר על הפרטיות.

אנחנו מתכננים להחליף את מדיניות ברירת המחדל של Chrome מ-no-referrer-when-downgrade ל-strict-origin-when-cross-origin, החל מגרסה 85.

כלומר, אם לא תגדירו מדיניות לאתר, Chrome ישתמש ב-strict-origin-when-cross-origin כברירת מחדל. חשוב לזכור שעדיין תוכלו להגדיר מדיניות לבחירתכם. השינוי הזה ישפיע רק על אתרים שלא הוגדרה להם מדיניות.

מה המשמעות של השינוי הזה?

strict-origin-when-cross-origin מציע יותר פרטיות. לפי המדיניות הזו, רק המקור נשלח בכותרת Referer של בקשות ממקורות שונים.

כך אפשר למנוע דליפות של נתונים פרטיים שעשויים להיות נגישים מחלקים אחרים של כתובת ה-URL המלאה, כמו הנתיב ומחרוזת השאילתה.

תרשים: גורם מפנה שנשלח בהתאם למדיניות, עבור בקשה ממקורות שונים.
גורם מפנה שנשלח (וגם document.referrer) לבקשה ממקורות שונים, בהתאם למדיניות.

לדוגמה:

בקשת CORS שנשלחה מהכתובת https://site-one.example/stuff/detail?tag=red אל https://site-two.example/‎…:

  • עם no-referrer-when-downgrade: Referer: https://site-one.example/stuff/detail?tag=red.
  • עם strict-origin-when-cross-origin: Referer: https://site-one.example/.

מה לא ישתנה?

  • בדומה ל-no-referrer-when-downgrade, גם strict-origin-when-cross-origin הוא מאובטח: אין גורם מפנה (כותרת Referer ו-document.referrer) כשהבקשה נשלחת ממקור HTTPS (מאובטח) למקור HTTP (לא מאובטח). כך, אם האתר שלכם משתמש ב-HTTPS (אם לא, כדאי להפוך את זה לעדיפות), כתובות ה-URL של האתר לא ייחשפו בבקשות ללא HTTPS, כי כל מי ברשת יכול לראות אותן. כך המשתמשים שלכם לא יהיו חשופים להתקפות אדם בתווך.
  • באותו מקור, ערך הכותרת Referer הוא כתובת ה-URL המלאה.

לדוגמה: בקשה מאותו מקור, שנשלחה מ-https://site-one.example/stuff/detail?tag=red אל https://site-one.example/‎…:

  • עם strict-origin-when-cross-origin: Referer: https://site-one.example/stuff/detail?tag=red

מה ההשפעה?

על סמך דיונים עם דפדפנים אחרים וניסויים של Chrome ב-Chrome 84, הבעיות שגלויות למשתמשים צפויות להיות מוגבלות.

סביר להניח שרישום ביומן בצד השרת או ניתוח נתונים שמסתמכים על זמינות של כתובת ה-URL המלאה של הגורם המפנה יושפעו מרמת פירוט מופחתת של המידע הזה.

מה צריך לעשות?

אנחנו מתכננים להתחיל להשיק את מדיניות ברירת המחדל החדשה של הגורם המפנה בגרסת Chrome 85 (ביולי 2020 בגרסה הבטא, באוגוסט 2020 בגרסה היציבה). הסטטוס מופיע ברשומה של סטטוס Chrome.

הסבר על השינוי וזיהוי שלו

כדי להבין את השינויים בפועל בברירת המחדל החדשה, אפשר לעיין בהדגמה הזו.

אפשר גם להשתמש בדמו הזה כדי לזהות את המדיניות שחלה במכונה של Chrome שאתם מריצים.

בודקים את השינוי ומבררים אם הוא ישפיע על האתר

אפשר כבר לנסות את השינוי החל מגרסה 81 של Chrome: נכנסים אל chrome://flags/#reduced-referrer-granularity ב-Chrome ומפעילים את הדגל. כשהדגל הזה מופעל, כל האתרים ללא מדיניות ישתמשו בברירת המחדל החדשה של strict-origin-when-cross-origin.

צילום מסך של Chrome: איך מפעילים את הדגל chrome://flags/#reduced-referrer-granularity.
הפעלת הדגל.

עכשיו אפשר לבדוק את ההתנהגות של האתר והקצה העורפי.

כדי לזהות את ההשפעה, אפשר גם לבדוק אם קוד האתר שלכם משתמש בגורם מפנה – דרך הכותרת Referer של הבקשות הנכנסות בשרת, או מ-document.referrer ב-JavaScript.

יכול להיות שתכונות מסוימות באתר לא יפעלו או יפעלו בצורה שונה אם אתם משתמשים במקור של הבקשות ממקור אחר לאתר (בפרט, הנתיב ו/או מחרוזת השאילתה) וגם המקור הזה משתמש במדיניות ברירת המחדל של הדפדפן בנושא מקור הפניה (כלומר, לא מוגדרת לו מדיניות).

אם המדיניות הזו משפיעה על האתר שלכם, כדאי לשקול חלופות

אם אתם משתמשים במקור ההפניה כדי לגשת לנתיב המלא או למחרוזת השאילתה של בקשות לאתר שלכם, יש לכם כמה אפשרויות:

  • השתמשו בשיטות ובכותרות חלופיות, כמו Origin ו-Sec-fetch-Site, להגנה מפני CSRF, לרישום ביומן ולתרחישים אחרים. כדאי לעיין במאמר Referer ו-Referrer-Policy: שיטות מומלצות.
  • אם יש צורך בכך, אתם יכולים להסכים עם השותפים על מדיניות ספציפית, שתהיה שקופה למשתמשים. אחת מהאפשרויות האלה היא בקרת גישה – כשאתרים משתמשים בגורם מפנה כדי להעניק גישה ספציפית למשאבים שלהם למקורות אחרים. עם זאת, בעקבות השינוי ב-Chrome, המקור עדיין ישותף בכותרת Referer (וגם ב-document.referrer).

חשוב לזכור שרוב הדפדפנים מתקדמים בכיוון דומה בכל הנוגע למקור ההפניה (ראו ברירת המחדל של הדפדפנים וההתפתחויות שלהם במאמר Referer ו-Referrer-Policy: שיטות מומלצות).

להטמיע באתר מדיניות מפורשת לשיפור הפרטיות

איזה Referer צריך להישלח בבקשות שנשלחו מהאתר שלכם, כלומר איזו מדיניות כדאי להגדיר לאתר?

גם בהתחשב בשינוי ב-Chrome, מומלץ להגדיר מדיניות מפורשת לשיפור הפרטיות כמו strict-origin-when-cross-origin או מדיניות מחמירה יותר כבר עכשיו.

כך תוכלו להגן על המשתמשים שלכם ולשפר את ההתנהגות של האתר בדפדפנים שונים. בעיקר, היא נותנת לכם שליטה – במקום שהאתר שלכם יהיה תלוי בהגדרות ברירת המחדל של הדפדפן.

במאמר Referrer ו-Referrer-Policy: שיטות מומלצות מוסבר בהרחבה איך מגדירים מדיניות.

מידע על Chrome Enterprise

המדיניות הארגונית של Chrome‏ ForceLegacyDefaultReferrerPolicy זמינה לאדמינים ב-IT שרוצים לאלץ את מדיניות ברירת המחדל הקודמת של הגורם המפנה, no-referrer-when-downgrade, בסביבות ארגוניות. כך לארגונים יש יותר זמן לבדוק ולעדכן את האפליקציות שלהם.

המדיניות הזו תוסר בגרסה 88 של Chrome.

שליחת משוב

יש לך משוב או משהו לדווח? אתם יכולים לשלוח משוב על כוונת הצוות לשלוח את Chrome או לפרסם שאלות ב-Twitter‏ @maudnals.

תודה רבה לכל הבודקים על התרומות והמשוב, במיוחד ל-Kaustubha Govind,‏ David Van Cleve,‏ Mike West,‏ Sam Dutton,‏ Rowan Merewood,‏ Jxck ו-Kayce Basques.

משאבים