Oktober 2016: Refer(r)er

Was ist ein Referrer: https://de.wikipedia.org/wiki/Referrer
RFC 1945, Abschnitt 10.13
https://fpunktk.de/i/referrer.php versucht den Referrer mit PHP und JavaScript anzuzeigen
Browserunterstützung: http://caniuse.com/referrer-policy
Warum gab es sowas:
- Hotlinkschutz von Bildern, also Bilder werden nur ausgeliefert, wenn der Referrer von der eigenen Domain kommt
- Auswertung von Seitenzugriffen: man sieht z.B. Suchbegriffe, die auf die eigene Seite geführt haben
- der RFC sagt, dass es das Caching verbessern sollte
- Man kann damit in den eigenen Serverlogs sehen, von wo auf nicht mehr existente Seiten verlinkt wird und dann die fremden Serverbetreiber auf den toten Link aufmerksam machen
- Vorteile fallen uns keine ein
Nachteile:
- persönliche Daten werden übermittelt, ohne Nachfrage
- Tracking über unterschiedliche Seiten hinweg ist möglich
- http://web.cs.wpi.edu/~cew/papers/wosn09.pdf
Was kann man dagegen tun?
- Selbstverteidigung, indem das Mitschicken des Referrers durch den Browser unterbunden wird
  - Firefox Addons:
    - https://addons.mozilla.org/en-US/firefox/addon/toggle-referer/
    - alternativ: https://addons.mozilla.org/en-US/firefox/addon/change-referer-button/
    - Referer-Einstellung pro Seite verwalten: https://addons.mozilla.org/en-US/firefox/addon/refcontrol/
  - Addon für chromiumbasierte Browser: https://chrome.google.com/webstore/detail/referer-control/hnkcfpcejkafcihlgbojoidoihckciin
- about:config
  - http://kb.mozillazine.org/Network.http.sendRefererHeader
- als Seitenbetreiber den Browser anweisen, den Referrer nicht mitzuschicken (funktioniert aber nicht bei allen Browsern)
  - META-tag einfügen:
```
<meta name="referrer" content="no-referrer">
```
- Seiten darauf testen: https://webbkoll.dataskydd.net/en