nerd hat geschrieben:
Dann steht wahrscheinlich in den
RFCs von w3c zu https auch voelliger unsinn.
HTTP und HTTPS unterscheiden sich hier! Das S steht fuer Secure. Deswegen werden bei HTTPS auch keine referer an ausgehende(!) oder drittdomains weitergegeben [..]
Erstens sind RFCs lediglich Richtlinien und stellen keinesfalls die Norm dar. Des Weiteren steht in den RFCs kein Unsinn, aber du verstehst den entsprechenden Teil des Textes offensichtlich nicht. Das S steht für Secure, richtig, aber das bezieht sich auf die Netzwerkebene und nicht auf die Anwendungsebende, bzw. das HTTP-Protokoll. Obwohl die Kommunikation über HTTPS sozusagen innerhalb eines TLS-Tunnels stattfindet, wird innerhalb dieses Tunnels immer noch HTTP gesprochen. Das S bedeutet also nicht, dass weniger Daten übermittelt oder die HTTP-Header reduziert werden, sondern lediglich, dass die Daten auf
Netzwerkebene nicht im Klartext übertragen werden. Auf Anwendungsebene, also wenn die Daten auf dem Ziel-Server ankommen, werden diese entschlüsselt und ganz normal verarbeitet und geloggt. Deshalb unterscheiden sich die Access Logs dann letztendlich auch nicht.
[...] it is strongly recommended that the user be able to select whether or not the Referer field is sent. For example, a browser client could have a toggle switch for browsing openly/anonymously, which would respectively enable/disable the sending of Referer and From information.
Schöne Theorie, die aber auf der Client-Seite umgesetzt werden muss und kann, siehe
hier. Wurde zum Teil auch von bspw. von
Chrome adaptiert.
Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol.
Hier ist ebenfalls von den
Clients (in diesem Fall also Browsern) die Rede und nicht von irgendwelchen serverseitigen Maßnahmen oder gar irgendwelchen Standards, die durch die Verwendung von HTTPS "automatisch aktiviert" werden.
Es kann natürlich jeder die Weitergabe von Referrern unterbinden, indem die entsprechende Einstellung im Browser geändert wird. Umsetzten tut das allerdings fast niemand und mit HTTPS hat das Ganze eben nichts zu tun.
Ich komme ursprünglich aus der Webhosting-Branche, in der ich 7 Jahre lang gearbeitet habe. Insbesondere habe ich dort mit Informationssicherheit und der Mitigation von (ua. Layer 7, also auf Anwendungsebende stattfindenden auf HTTP(S) basierenden) DDoS-Angriffen zu tun gehabt und behaupte mal, dass ich in dieser Zeit genug Traffic-Muster und -Pakete studiert habe, um hier eine halbwegs qualifizierte Aussage treffen zu können.