Tracking-Technologien (Diskussion): Der http-referrer als referer

Klickt man auf einen Link, erhält die verlinkte Webseite die Information, „von wo man kommt“.

Der Bezug wird „refer“-iert, d.h. in Bezug genommen und übermittelt.

Wikipedia beschreibt, es würde auch die genaue (Unter-)Seite verlinkt, beschreibt die technische Möglichkeit, den technischen Standard.

Ich las aber jetzt, dass es mittlerweile verschiedene Einstellmöglichkeiten („referrer-Policies“) gibt, hier.

Die meisten Browser nutzen nun als Standardeinstellung „strict-origin-when-cross-origin“, heißt es hier.

Das bedeutet wohl, dass fremden Domains wohl die Domain, aber nicht die genaue (Unter-)Seite bekannt gegeben wird, bspw bei Links hier, nicht der genaue Thread.

Aber Vorsicht: „no-origin“ ist eine Domain meines Wissens nur, wenn sie nicht demselben Konzern gehört. Dass sie nur eine andere ist, reicht nicht. Google dürfte hunderte, teils kryptische Domains haben.
Viele wissen nicht, dass bspw auch Double-Click.com (mit verschiedenen Endungen) zu Google gehört.

Eine nichtvorhandene Policy war/ist, also die Vollübermittlung, ist so lange und umfänglich Praxis gewesen, dass Google irgendwann die Weiterübermittlung des vollen referrers an die Webseiten stoppte, die über die Google-Suche verlinkt wurden.
So verstehe ich jedenfalls diesen Text hier.

Ehrlich gesagt, kann ich noch nicht glauben, dass Google sich die vollen referrer entgehen lässt, sogar angeblich mit dem eigenen Chrome-Browser dafür sorgt, dass die „same-origin-policy“ sogar Google-Domains einschließt.
Es gab ja vor ein paar Monaten Nachrichten, dass Google mit dem Chrome ganz interessante Sonderbarkeiten zu seinen Gunsten veranstaltet … so mit Logins bei Google-Diensten oder/und (Nicht-)Löschen von Google-Cookies etc. - so in der Richtung jedenfalls.

Infos/Ideen willkommen!

Soweit ich informiert bin, wird der referrer nur bei http übertragen, nicht jedoch bei https. Sonst würde mein session key bei homebanking an Hans und Franz übertragen werden…

Auch bei HTTPS, wenn die Bank oder der Browser keine Einschränkungen vornimmt, würde dieser übertragen werden (aber standardmäßig das Sessiontoken entfernt werden (Firefox)) .
Für gewöhnlich sollte das aber für die Techniker bei den Banken bekannt sein, die die Webseiten bereitstellen/entwickeln, und deshalb unterbunden werden.

Inzwischen wird da auch variiert, und nicht einfach so volle URLs übertragen (aber möglich ist es wohl, das so einzustellen).
Wie genau die Standard-Richtlinien (inzwischen) von deinem Webbrowser sind, ist von diesem abhängig, da müsstest du nachschauen.

Mit dem Tor Browser Bundle (basierend auf Firefox ESR 102.10, sollte für diesen, und aktuelleren Versionen, momentan das gleiche sein), wird beispielsweise, wenn der Betreiber der Webseite nichts anderes festlegt, der Referer übertragen, und dabei nur auf das Protokoll und den Domainnamen (und eventuell den Port wie :8080 nach der Domain) gekürzt: Referer: https://blog.fefe.de/.

Viele Möglichkeiten zur Unterbindung, für Webseitenbetreiber, hat Mozilla ganz gut hier unter How can we fix this? aufgelistet.
Voller Beitrag, ohne Anker, mit Erklärung: Referer header: privacy and security concerns

Um Firefox selbst umzukonfigurieren, kannst du z.B. die entsprechenden about:config Einstellungen nutzen.
Das Privacy-Handbuch hat dazu ein Kapitel, in der zweiten Hälfte sind die Optionen mit einer Einstellungsempfehlung beschrieben, ansonsten kannst du andere Werte für diese auch anderswo nachlesen.
Für Chromium kann Ich da nichts sagen, aber Ich glaube, da sollte es vergleichbare Lösungen geben.