You are viewing a single comment's thread from:
RE: Android: Referrer im Firefox abschalten
Was sich mir immer wieder als Frage stellt, warum gibt es immer wieder solche Standards. Ich bin selbst Programmierer und mir erschließt sich der Sinn dahinter meist nicht. Ich habe bis jetzt noch in keinem Projekt, diese Funktionalität benötigt.
Natürlich gibt es Einsatzgebiete wo man einen Referrer benötigt, siehe Amazon- / Promotion-Links, aber das kann man ja über einen GET Parameter regeln.
Meiner persönlichen Meinung nach, würde eine Abschaffung dieser sinnlosen Standards oder die einfache Nicht-Implementierung der Sicherheit im Netz vielmehr nutzen. Jeder kann darüber jetzt denken was er will, doch dies ist halt nur meine Meinung.
Aber du siehst es ja z.B bei Flash das es schwierig und langwierig ist eine Funktion abzuschalten, weil es immer jemanden gibt der sie noch benutzt und nicht einsieht das zu ändern. Dazu kommt noch das Microsoft und Google beide Browser entwickeln und Datenkraken sind, die gar kein Interesse haben Privatsphäre einzubauen. Ich halte es also für unrealistisch das sich das in nächster Zeit ändert.
Ändern wird sich das wohl leider nie, doch ist es schon interessant, dass die meisten Browserhersteller immer für sich werben mit wir schützen unsere User und dann doch wieder solche Standards implementieren.
Es gibt aber Aussnahmen
Einer der wenigen Browser, der wohl anscheinend den Referrer von Haus aus verschleiert, ist der Brave Browser. Versucht man hier in der Console den Referrer zu loggen, wird lediglich die Domain der aktuellen Website ausgegeben.
Frag mal die Jungs von Binance.c0m da kann man sich ohne nichtmal einloggen :)
Das ist leider ein großes Problem der heutigen Entwicklerriege, viele springen direkt auf jedes neue Feature auf ohne zu hinterfragen, ob der Einsatz überhaupt sinnvoll ist oder es auch anders realisiert werden kann.
Das heißt jetzt nicht, dass jedes neue Feature Müll ist, sondern es fehlt mir teilweise komplett das Hinterfragen von Features und ein vernünftiges Abwiegen der Verhältnissmäßigkeit.
Das kann ich einfach nur unterschreiben. Ist allerdings ein branchenübergreifendes problem ;)
Mein lieblings feature in der kategorie: Leider geil... Die neuen led audi blinker. Brauch man nicht, noch ne schwachstelle mehr, aber halt leider geil. Ich wette bei den IT'lern ist das teilweise nicht anders :)
Ich habe schon mal gesehen, dass der referer als quasi Sicherheitsfeature von Seiten verwendet wird.
Z. B. wenn du einen Blog post hast mit Bildern drin, die von dir sind. Dann werden die Bilder nur dann korrekt ausgeliefert, wenn im referer auch wirklich der Link zu dem Blog Artikel drin ist. Lässt sich natürlich einfach umgehen, aber zumindest mal den Standardnutzer, der nur "Bild speichern unter" klickt hält es auf.
Das ist dann aber auch wieder nur ein Fall von Pseudo-Schutz, den man auch anders realisieren kann.
Da man es ja nur per Javascript nutzen kann, kann man auch gleich seinen Wert setzen.
Man sollte zu dem nicht document.referrer nicht verwechseln mit dem Referrer im HTTP Protokoll. Im HTTP Protokol hat er schon einen gewissen Sinn.
Referrer mit drei “r“, nettes Detail ;).
Über die JS Seite der Medaille weiß ich nicht bescheid. Der Referer-Pseudo-Schutz den ich meinte bezieht sich auch auf den HTTP Referer. Der wird vom Browser nämlich auch gesetzt wenn er Ressourcen, wie Bilder nach lädt. Aber auch der kann ganz einfach ausgetrickst werden über Browser-Erweiterungen.