Politica ReferrerElevenPaths 16 mayo, 2017 Hoy en día es muy común moverse entre webs por medio de enlaces, muchos blogs lo utilizan para guiar a sus usuarios de noticia a noticia. Cuando entramos a una web esta puede conocer cuál es tu web de origen, esto es gracias una variable de las cabeceras que se envía tanto al cliente como al servidor llamada “referrer”, esta variable la podemos encontrar en los protocolos http y https. Hasta hace unos meses la cabecera de http referrer funcionaba del siguiente modo; al pasar de unan página http a otra del mismo tipo u otra con protocolo https se incluía el referrer en la cabecera, al pasar de una página https a otra del mismo tipo el funcionamiento era el mismo, sin embargo, al pasar de una página https a una con http el referrer no se incluía. Recientemente esto ha cambiado con la llegada de 7 nuevas políticas que permiten decidir a qué páginas les enviamos dicha información sobre nuestro origen. Tras investigar un poco el funcionamiento de estas nuevas políticas podemos afirmar que hay algunas más seguras que otras si queremos mantener a salvo nuestra privacidad. Origin: Con esta política siempre que pasemos de una página a otra por medio de un link nuestro navegador incluirá nuestro origen en la solicitud a la página. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 http://www.example.com Origin-when-cross-origin: Con esta política se envía la URL de la página de origen, sin embargo la que se envía es la URL de la página principal, a no ser que se pase de una página https a la misma página https, que en ese caso se incluye la URL completa de la página de origen y no la URL de la página principal. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 http://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.example.com http://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 http://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.example.com http://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 http://www.elladodelmal.com Unsafe-URL: con esta política independientemente del protocolo de origen y el de destino al pasar de una página a otra siempre se incluirá en el header la URL completa de la página de la que venimos. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com/1 https://www.elladodelmal.com/1 https://www.example.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com/1 https://www.elladodelmal.com/1 https://www.example.com https://www.elladodelmal.com/1 Estas tres políticas son las menos seguras, ya que estamos dejando un rastro de nuestro recorrido por internet. Comúnmente las páginas utilizan estos datos para hacer estadísticas en las que se refleja de donde vienen sus visitas. Same-origin: En esta política el navegador solo incluirá el referrer header para peticiones de la misma página de origen y solo si esta mantiene el protocolo https, si se pasa a otra página independientemente de su protocolo no incluirá la cabecera referrer en la petición. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com/1 https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 No https://www.elladodelmal.com/1 https://www.example.com No https://www.elladodelmal.com/1 https://www.example.com No Strict-origin: Esta es parecida a la política origin, lo que la diferencia de la origin es que al pasar de una página segura con https a una con http independientemente de cual sea la página no se revelará el origen. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com/1 https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 No https://www.elladodelmal.com/1 https://www.example.com No https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 http://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 http://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.example.com http://www.elladodelmal.com Strict-origin-when-cross-origin: esta es similar a origin-when-cross-origin, en esta política solo se compartirá nuestro origen mientras naveguemos de una página https a otra del mismo tipo, si pasamos de https a http no se incluirá nuestro origen. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 https://www.elladodelmal.com/1 https://www.elladodelmal.com/1 https://www.example.com https://www.elladodelmal.com https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 No https://www.elladodelmal.com/1 https://www.example.com No Por ultimo tenemos la política no-referrer: esta es la política más segura de todas ya que independientemente del tipo de páginas por las que nos movamos nunca se enviará la cabecera referrer incluso moviéndonos dentro de la misma página. Origen Destino Referrer https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 No https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 No https://www.elladodelmal.com/1 https://www.elladodelmal.com/2 No https://www.elladodelmal.com/1 https://www.example.com No https://www.elladodelmal.com/1 https://www.example.com No https://www.elladodelmal.com/1 https://www.example.com No Todas estas políticas ya han sido incluidas en muchas páginas web, y se ha realizado un estudio sobre que navegadores y que versiones de los mismos soportan la nueva cabecera, aquí tenéis una tabla en la que podréis comprobar si vuestro navegador habitual ya ha adoptado las nuevas políticas de la cabecera Referrer. Para comprobar si las páginas que visitáis habitualmente ya disponen de la cabecera Referrer podéis introducir su URL en securityheaders.io. Esta página además de comprobar las cabeceras que hay activas en un dominio te explica detalladamente cuales son las políticas que están desactivadas y si estas implican algún riesgo de seguridad. ElevenPaths participa en JNIC 2017 y sus retos científicos, impulsando la investigación de ciberseguridadBig Data for Social Good in Action 2017
José Vicente Catalán Tú te vas de vacaciones, pero tu ciberseguridad no: 5 consejos para protegerte este verano Las vacaciones son una necesidad, está claro. Todo el mundo necesita relajarse, pasar tiempo de calidad con la familia y amigos, desconectar. Pero, irónicamente, para desconectar acabamos conectando (el...
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Telefónica Tech Boletín semanal de ciberseguridad, 16 — 22 de julio Lightning Framework: nuevo malware dirigido a entornos Linux El equipo de investigadores de Intezer ha publicado información relativa a un nuevo tipo de malware que afecta a entornos Linux y...
Telefónica Tech España necesita 83.000 profesionales en ciberseguridad en los próximos dos años Universidad Loyola y Telefónica Tech han puesto en marcha el nuevo Máster en Ciberseguridad para CISO
Roberto García Esteban Cloud computing: abierto por vacaciones Llegan las vacaciones de verano y con ellas el merecido descanso para casi todos nosotros. La actividad de la mayoría de las empresas se reduce drásticamente, aunque también hay...
Diego Samuel Espitia Qué son los “Martes de parches” de seguridad para tecnología operativa (OT) En el mundo de la ciberseguridad estamos acostumbrados a la publicación de paquetes que corrigen las vulnerabilidades detectadas en software para empresas, los conocidos como actualizaciones o «parches» de...