mboost-dp1
Google Inc.
Som jeg forstår reglerne, så vil Referer blive sendt, hvis den anden side er HTTPS. Det undrer mig, da det jo er et andet domæne.
Alrekr (1) skrev:Så man slipper for de sider som fremhæver søgetermer? Super!
Ja ... men kan nu godt lide sider der fremhæver det man har søgt på automatisk når man kommer derind. Men som du siger, så er det bare MAX nitten når det udnyttes til "spam søgning".
Daniel-Dane (2) skrev:Som jeg forstår reglerne, så vil Referer blive sendt, hvis den anden side er HTTPS. Det undrer mig, da det jo er et andet domæne.
Modsat ... hvis Ref, dvs Google er HTTPS bør din klient ikke sende REF med til det andet domain, dvs den søge du fandt via google.
mvh
syska (3) skrev:Ja ... men kan nu godt lide sider der fremhæver det man har søgt på automatisk når man kommer derind. Men som du siger, så er det bare MAX nitten når det udnyttes til "spam søgning".
Jeg vil nu hellere have muligheden for at undgå markeringerne, og så selv søge efter termerne vha. Ctrl+F.
syska (3) skrev:Modsat ... hvis Ref, dvs Google er HTTPS bør din klient ikke sende REF med til det andet domain, dvs den søge du fandt via google.
Nej, du har læst forkert. Der står i reglerne, at der IKKE BØR sendes en Referer, hvis den kommer fra HTTPS til HTTP, men der står ikke, at den IKKE må sende en Referer, når den kommer fra HTTPS fra ét domæne til HTTPS på et andet domæne.
#2 har desværre ret; jeg lavede lige en test i firefox.
Fra https://encrypted.google.com til http://newz.dk : ingen referer
Fra https://encrypted.google.com til https://secure.wikimedia.org: standard referer.
Og det er nok ikke helt uden problemer at lave om på den håndtering.
Fra https://encrypted.google.com til http://newz.dk : ingen referer
Fra https://encrypted.google.com til https://secure.wikimedia.org: standard referer.
Og det er nok ikke helt uden problemer at lave om på den håndtering.
Daniel-Dane (7) skrev:Nej, du har læst forkert. Der står i reglerne, at der IKKE BØR sendes en Referer, hvis den kommer fra HTTPS til HTTP, men der står ikke, at den IKKE må sende en Referer, når den kommer fra HTTPS fra ét domæne til HTTPS på et andet domæne.
Jeg misforstod dig ... troede vi snakkede om blading af https og http.
Ja, det er vel heller ikke et problem.
kalleguld (8) skrev:#2 har desværre ret; jeg lavede lige en test i firefox.
Fra https://encrypted.google.com til http://newz.dk : ingen referer
Fra https://encrypted.google.com til https://secure.wikimedia.org: standard referer.
Og det er nok ikke helt uden problemer at lave om på den håndtering.
Nemt ... vi skal vel bare have producenterne af browserne til at acceptere du ikke vil sende den med. Men det er vist andre ting som de prøver at få ind, men tvivler på det sker sådan lige med det samme.
Problemet er jo lidt hvis man ikke længere kan tjene penge på reklamer og andre ting fordi man surfer private etc. Så må vi forvente at vi kommer til at betale for services i fremtiden.
Hvad sker der så hvis der er redirects med?kalleguld (8) skrev:#2 har desværre ret; jeg lavede lige en test i firefox.
Fra https://encrypted.google.com til http://newz.dk : ingen referer
Fra https://encrypted.google.com til https://secure.wikimedia.org: standard referer.
Hvis http://url1/ linker til http://url2/ som redirecter til http://url3/ vil url3 bliver loadet med referer sat til http://url1/
Hvis nu der linkes fra https://url1/ til http://url2/ som redirecter til https://url3/, vil der så bliver sendt referer med når url3 indlæses?
Hvad vil der ske hvis https://url1/ linker til https://url2/ som redirectier til http://url3/?
PS: Der er en bug i newz der gør at hver gang jeg skriver https bliver det renderet som http. Men hvis man holder cursoren over et link kan man se hvad jeg i virkeligheden skrev.
syska (9) skrev:Ja, det er vel heller ikke et problem.
Det er et stort problem. Det står også i mit link, men du får den lige igen: Der kan være følsomme oplysninger i den url, som ligger i Referer.
Det er godt nok security by obscurity, men ikke alle kan finde ud af det dersens sikkerhed.
Det er en af mange grunde til at følsomme oplysninger bør holdes væk fra URLen. Men der er tale om et felt som ikke alle finder lige følsomt, og det er praktisk at kunne kopiere en URL med søgeord som så umiddelbart vil virke for andre. Og det betyder også at man kan lave et bookmark til søgeresultaterne.Daniel-Dane (11) skrev:Der kan være følsomme oplysninger i den url, som ligger i Referer.
Google ville nemt kunne fjerne det fra URLen ved at lave det om fra GET til POST, men det ville ikke være så brugervenligt. Og det ville samtidigt kræve at alle links mellem siderne i søgeresultaterne blev lavet om til submit knapper på en skjult form.
Google burde egentlig implementere muligheden og så have en indstilling man selv kan sætte for at vælge om der skal bruges GET eller POST.
Ja, i Googles tilfælde er der ikke følsomme oplysninger i URL'en, og helt generelt bør der ikke være følsomme oplysninger i den.
Jeg citerer dog lige fra linket:
Ovenstående passer fint med din tanke.
Jeg citerer dog lige fra linket:
http://tools.ietf.org/html/rfc2616#section-15.1.3 skrev:Because the source of a link might be private information or might
reveal an otherwise private information source, it is strongly
recommended that the user be able to select whether or not the
Referer field is sent.
Ovenstående passer fint med din tanke.
Daniel-Dane (11) skrev:Det er et stort problem. Det står også i mit link, men du får den lige igen: Der kan være følsomme oplysninger i den url, som ligger i Referer.
Det er stadig ikke et problem. Hvis der er følsomme data i URL'en, såer det programmørens skyld. Mener der også stod på du link du selv skrev, at følsomme informationer _ALDRIG_ bør sendes med som GET, men derimod POST, netop pga det du nævner.
Så igen ... ser intet problem, udover udviklere som ikke ved hvordan de skal håndtere det.
[edit]
Ja, efter jeg læser de næste indlæg efter dit Daniel-Dage er overstået jo klart.
[/edit]
mvh
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund