С приходом SPDY всё больше и больше сайтов переключается в режим “всегда работаем через HTTPS/TLS”, что, в принципе, является хорошей новостью. Ведь неприятно когда из-за того что компьютер (телефон, планшет…) подключился к открытой wifi-сети пользователь теряет логин, пароль от какого-то сайта или даже просто частные фотографии .
Но, из-за перехода на HTTPS начинают плакать рекламщики, специалисты по поисковой оптимизации и прочие люди плотно работающие с системами анализа http-трафика. Проблема в том, что из соображений безопасности, при переходе со страницы защищённой TLS на страницу незащищённую браузер не передаёт последней заголовок HTTP_REFERER
и система аналитики не может узнать откуда пользователь пришёл. На днях Stephen Merity написал в свой блог большую статью “
Where did all the HTTP referrers go?
”, которая рассказывает о новом <meta>
теге referrer
, который элегантно решает эту проблему позволяя автору сайта самому решить хочет ли он чтобы при переходе с его страниц HTTP_REFERER выставлялся и насколько детально он должен быть заполнен.
Кстати, про безопасность… Интересен тот факт, что поддержки современного протокола шифрования TLS 1.2 нет почти нигде и все работают с давно устаревшим TLS 1.0. В Chrome есть поддержка TLS 1.1, что на голову лучше того, что предлагают конкуренты.
Чтение на ночь:
- Bugzilla@Mozilla – Bug 733647 – Implement TLS 1.1 (RFC 4346) in Gecko (Firefox, Thunderbird), on by default
- Bugzilla@Mozilla – Bug 480514 — Implement TLS 1.2 (RFC 5246)
- Chromium — Issue 90392: No TLS 1.2 (SHA-2) Support
- MS12-006: Vulnerability in SSL/TLS could allow information disclosure: January 10, 2012