Politica Referrer

Hoy en día es muy común moverse entre webs por medio de enlaces, muchos blogs lo utilizan para guiar a sus usuarios de noticia a noticia. Cuando entramos a una web esta puede conocer cuál es tu web de origen, esto es gracias una variable de las cabeceras que se envía tanto al cliente como al servidor llamada “referrer”, esta variable la podemos encontrar en los protocolos http y https.

Hasta hace unos meses la cabecera de http referrer funcionaba del siguiente modo; al pasar de unan página http a otra del mismo tipo u otra con protocolo https se incluía el referrer en la cabecera, al pasar de una página https a otra del mismo tipo el funcionamiento era el mismo, sin embargo, al pasar de una página https a una con http el referrer no se incluía.

Recientemente esto ha cambiado con la llegada de 7 nuevas políticas que permiten decidir a qué páginas les enviamos dicha información sobre nuestro origen. Tras investigar un poco el funcionamiento de estas nuevas políticas podemos afirmar que hay algunas más seguras que otras si queremos mantener a salvo nuestra privacidad.

Origin: Con esta política siempre que pasemos de una página a otra por medio de un link nuestro navegador incluirá nuestro origen en la solicitud a la página.

Origin-when-cross-origin: Con esta política se envía la URL de la página de origen, sin embargo la que se envía es la URL de la página principal, a no ser que se pase de una página https a la misma página https, que en ese caso se incluye la URL completa de la página de origen y no la URL de la página principal.

Unsafe-URL: con esta política independientemente del protocolo de origen y el de destino al pasar de una página a otra siempre se incluirá en el header la URL completa de la página de la que venimos.

Estas tres políticas son las menos seguras, ya que estamos dejando un rastro de nuestro recorrido por internet. Comúnmente las páginas utilizan estos datos para hacer estadísticas en las que se refleja de donde vienen sus visitas.

Same-origin: En esta política el navegador solo incluirá el referrer header para peticiones de la misma página de origen y solo si esta mantiene el protocolo https, si se pasa a otra página independientemente de su protocolo no incluirá la cabecera referrer en la petición.

Strict-origin: Esta es parecida a la política origin, lo que la diferencia de la origin es que al pasar de una página segura con https a una con http independientemente de cual sea la página no se revelará el origen.

Strict-origin-when-cross-origin: esta es similar a origin-when-cross-origin, en esta política solo se compartirá nuestro origen mientras naveguemos de una página https a otra del mismo tipo, si pasamos de https a http no se incluirá nuestro origen.

Por ultimo tenemos la política no-referrer: esta es la política más segura de todas ya que independientemente del tipo de páginas por las que nos movamos nunca se enviará la cabecera referrer incluso moviéndonos dentro de la misma página.

Todas estas políticas ya han sido incluidas en muchas páginas web, y se ha realizado un estudio sobre que navegadores y que versiones de los mismos soportan la nueva cabecera, aquí tenéis una tabla en la que podréis comprobar si vuestro navegador habitual ya ha adoptado las nuevas políticas de la cabecera Referrer.

Para comprobar si las páginas que visitáis habitualmente ya disponen de la cabecera Referrer podéis introducir su URL en securityheaders.io. Esta página además de comprobar las cabeceras que hay activas en un dominio te explica detalladamente cuales son las políticas  que están desactivadas y si estas implican algún riesgo de seguridad.