Anonimizzazione dei link: vantaggi e svantaggi dei servizi di dereferer
Una funzione di base del World Wide Web è il collegamento ipertestuale o hyperlink da un sito web a un altro. Se un utente clicca su un riferimento di questo tipo, il suo browser invia una richiesta HTTP al web server, la cui risposta consiste nella pagina di destinazione. Nell’header oltre al nome dell’host del server e della risorsa desiderata, la pagina contiene solitamente anche un referer o referrer (la versione originale è la seconda, la prima è dovuta a un errore di spelling). Si tratta di un componente opzionale che contiene l’URL del sito web di rimando e che trasmette le informazioni sull’origine del visitatore.
Il termine Referrer deriva dal verbo inglese to refer (in italiano_ riferire, indicare). Il sostantivo però viene scritto con due r. La dicitura erronea Referer, utilizzata nell’ambito HTTP, dipende da un errore di scrittura nell’originale Request for Comments. Ma in altri standard come il Document Object Model (DOM) viene utilizzata la dicitura corretta.
La funzione del referrer può essere spiegata con un esempio:
Il box immediatamente qui sopra contiene un link di rimando al testo originale della Request for Comments del 1945. Cliccandoci sopra, in pochissimi secondi il vostro browser invierà una richiesta GET al server web dell’Internet Engineering Task Force (IETF). Il clic sul collegamento ipertestuale induce il vostro browser a contattare l’host dal nome tools.ietf.org e richiedere il file /rfc/rfc1945.txt. In questo caso il referrer, ovvero la pagina di partenza, sarà quella in cui vi trovate in questo momento. L’header HTTP utilizzato contiene perciò i seguenti campi:
GET /rfc/rfc2068.txt HTTP/1.1
Host: www.ietf.org
Referer: https://www.ionos.de/digitalguide/hosting/hosting-technik/dereferrer-links-anonymisieren-leicht-gemacht/
In questo modo il gestore del sito web della pagina di destinazione scopre su quale pagine è linkata la propria offerta online e può elaborare le informazioni per le proprie analisi e, se necessario, mostrare contenuti specifici per singoli utenti.
Altri campi dell’header HTTP contengono solitamente le informazioni dell’user-agent da loro utilizzato così come i formati, le lingue, i set di caratteri o i procedimenti di codifica supportati. Il volume delle informazioni trasmesse dipende dal browser utilizzato e come lo avete configurato.
I dati referrer nell’analisi web
Solitamente i web server salvano tutte le informazioni che gli vengono inviate nell’ambito delle richieste client in un file protocollo, comunemente chiamato Logfile. Al suo interno, nel protocollo, viene creata una riga separata per ogni singola richiesta. I gestori di siti web utilizzano questi dati come base per le proprie analisi, rappresentando quindi un’importante fonte di informazioni utili sui visitatori del proprio sito web. Inoltre viene utilizzato anche il software Analytics di Google, basato sugli script e che funge da raccoglitore delle informazioni referrer e di altre metriche.
Specialmente le informazioni fornite nel campo del referrer permettono un’analisi statistica dell’origine dei flussi di utenti. In questo modo è possibile valutare in maniera affidabile le misure di marketing adottate, quali i banner pubblicitari, gli affiliate link, le inserzioni a pagamento nelle business directory o anche gli articoli in vendita su siti di altri provider, giudicando così la loro efficacia. L’analisi referrer dà il maggior contributo nell’ambito dell’ottimizzazione per i motori di ricerca.
Nel caso di accessi diretti non viene trasmessa alcuna informazione di referrer riguardo ai visitatori. Questo è il caso quando un utente digita manualmente l’URL desiderato nella barra di ricerca del browser o attraverso un segnalibro.
I tool di analisi web permettono la lettura automatica del campo dei referrer e l’elaborazione dell’intero pool di dati sotto forma di report. Nelle visite provenienti dai motori di ricerca è possibile ottenere anche le parole chiave ricercate sui vari Google, Yahoo, ecc., tramite le quali si è giunti a visitare la pagina.
Stando a quanto riportato da W3-Techs, l’83 % di tutti i gestori di siti web utilizzano il tool Analytics per l’analisi automatica dei propri dati di traffico. Tuttavia ci sono molte alternative a disposizione.
Tuttavia non a tutti gli utenti di Internet piace l’idea che la pagina di destinazione sia in grado di ritracciare la pagina di partenza della propria visita. Il referrer fornisce praticamente informazioni sul comportamento degli utenti che visitano i siti web. Alcuni utenti temono che così i dati di referrer vengano utilizzati come base per il protocollo di trasmissione e si decidono così a disattivare il campo referrer delle richieste HTTP lato client.
Anche i gestori di siti web hanno diverse possibilità per impedire la trasmissione automatica del referrer. In passato venivano utilizzati soprattutto i cosiddetti servizi di dereferrer. Oggigiorno invece, il nuovo standard HTML (versione 5) offre l’attributo nativo notreferrer.
L’utilizzo di tecnologie dereferrer è solitamente motivato dai dubbi sulla sicurezza: nel passato gli hacker riuscivano a leggere i dati personali contenuti in settori privati basati sul web proprio grazie alle informazioni referrer. Il dereferrer e le tecnologie comparabili sono state introdotte per nascondere al gestore della pagina d’arrivo gli URL e perciò gli eventuali parametri GET o una sezione ID in Querystring. Un ulteriore motivo per la disattivazione del referrer è la protezione dallo spam.
Spam referrer
Il referrer HTTP veniva sfruttato in passato nel contesto delle misure SEO (black hat SEO), tra l’altro in maniera particolarmente efficace per gli attacchi di referrer spam. L’obiettivo era quello di falsare le statistiche di referrer e aumentare così la rilevanza del proprio sito web per i motori di ricerca. Perciò, tramite l’utilizzo di script, ai siti web veniva richiesto in maniera automatizzata di inserire il numero più alto possibile di URL all’interno dei file di Log dei siti web selezionati. I weblog che pubblicavano le proprio statistiche di referrer, offrivano così anche ai link di spam una piattaforma, accessibile sia agli utenti che alle macchine di ricerca. È così che alcuni siti pornografici riescono a stabilirsi come fonti di traffico rilevanti.
Che cos’è un dereferrer?
Per dereferrer (anche link anonimo) si intende un sito web tra la pagina di partenza e quella d’arrivo e che serve all’inoltro degli utenti da una all’altra. L’obiettivo è quello di occultare l’URL del sito web di provenienza e dunque di impedire che il vostro percorso sul web venga tracciato all’inverso.
I servizi Dereferrer
In Internet è possibile trovare numerosi provider che mettono a disposizione funzioni dereferrer. Solitamente questo avviene per inoltro attraverso una pagina web appositamente impostata, che modifica la richiesta HTTP del client per mezzo del meta tag refresh e degli script lato server. Un browser provvede così a sostituire il referrer originario con un URL proprio o una successione di caratteri casuale. Ecco un esempio di dereferrer:
- anonym.to di gulli.com
In quanto gestori di siti web, siete in grado di creare link anonimi direttamente attraverso il sito del provider. Per farlo procedete come indicato qui di seguito:
- Digitare l’URL: indicate l’indirizzo desiderato nel formulario online apposito.
- Generare un link dereferrer: procedete con la generazione del link anonimo cliccando sul tasto apposito.
Copiate poi il link dereferrer al punto desiderato all’interno del vostro sito web.
Oltre alla possibilità di generare i link attraverso un’applicazione web, tutti i provider mettono a disposizione script che, una volta integrati nel codice sorgente del vostro sito web, servono a riorganizzare tutti i link in uscita attraverso il dereferrer corrispondente.
Dereferrer: vantaggi e svantaggi
Non appena anonimizzate un link in uscita attraverso un dereferrer, nascondete sì l’URL del sito web di partenza agli occhi del gestore delle pagine di arrivo, ma al contempo fornite quegli stessi dati al provider del servizio di dereferrer. Similarmente a come avviene per l’utilizzo di un server Proxy, si viene a creare una falla di sicurezza significativa. I più scettici affermano addirittura che lo spionaggio dati potrebbe essere una valida motivazione dietro ai servizi di anonimizzazione gratuiti disponibili sul web. I servizi segreti potrebbero avere grande interesse a scoprire cosa gli utenti vogliano tenere nascosto per mezzo di questo tipo di servizi.
Se poi avete scelto un servizio di dereferrer perché vi sembrava particolarmente serio, non è da escludere che questo venga hackerato con il passare del tempo. In tal caso proprio quelle informazioni che volevate tenere nascoste vengono trapelate, finendo in mano a terzi, senza che magari neanche ne veniate messi al corrente. Per questo motivo i provider di applicazioni web decidono spesso di puntare su dereferrer da loro stessi gestiti, così da proteggere le informazioni sensibili come le sessioni ID o i parametri GET dall’accesso di terze parti.
Ad esempio i provider e-mail sostituiscono i link nelle e-mail attraverso deviazioni per mezzo di un servizio di dereferrer interno. Questo previene il cosiddetto dirottamento di sessione. Altrimenti i gestori di siti web mal intenzionati potrebbero utilizzare le sessioni ID trasmesse per referrer per impadronirsi della sessione di webmailing di visitatori inconsapevoli.
Fate attenzione: talvolta l’informazione di referrer viene utilizzata per rendere disponibili alcune funzioni dei siti web ai visitatori. Ad esempio capita spesso che alcuni contenuti di un sito web siano legati a URL specifici per paese. Se rinviate quindi a una pagina del genere per mezzo di un link anonimo, i visitatori del sito web non saranno probabilmente in grado di visualizzare tali contenuti.
| Vantaggi dei servizi di dereferrer | Svantaggi dei servizi di dereferrer |
|---|---|
| L’URL referrer rimane segreto (protezione dal dirottamento delle sessioni) | Il provider dereferrer ha accesso a tutto il traffico dati. |
| Con ogni probabilità i siti web che utilizzano le informazioni referrer per la propria offerta non funzionano come desiderato. |
Alternative ai servizi di dereferrer
Volete anonimizzare i vostri link ma non volete dovervi preoccupare degli svantaggi e dei rischi di sicurezza collegati con servizi di Dereferrer? Nessun problema. Qui di seguito vi mostriamo come fare per disattivare la funzione referrer del vostro browser senza add-on e rendere i collegamenti testuali anonimi grazie all’attributo HTML5 rel=”noreferrer”.
Disattivare il referrer nel browser
I dereferrer sono pensati soprattutto per i gestori di siti web che vogliono impedire che i collegamenti ipertestuali in uscita possano essere tracciati fino ad arrivare al proprio sito web. Per quanto riguarda quegli utenti che hanno interesse nel proteggere la propria sfera privata, possono implementare i servizi di dereferrer per mezzo di add-on per browser: in questo caso il browser devia ogni link sul quale viene cliccato attraverso un sito web dereferrer. Il provider da voi scelto solitamente non rappresenta un problema. Le varie estensioni, non strettamente necessarie, sono disponibili per Mozilla Firefox e Google Chrome. Entrambi questi browser offrono l’opzione di disattivare stabilmente la funzione referrer.
Mozilla Firefox
La disattivazione della funzione referrer con Mozilla Firefox è possibile unicamente nelle impostazioni nascoste del browser. Seguite quanto illustrato qui di seguito:
- Aprire le impostazioni nascoste: aprite Firefox e digitate about:config nella barra di indirizzo.
Ricevete un messaggio d’avviso che le modifiche alle impostazioni del browser possono influenzare la sicurezza, la stabilità e le performance dello stesso.
Cliccate su “accetto i rischi”.
- Ricerca dei parametri: navigate utilizzando la barra di ricerca digitando network.http.sendRefererHeader. Questo parametro ha il compito di rendere disponibili le informazioni di referrer.
- Adattare i parametri: cliccate perciò due volte su network.http.sendRefererHeaderK. Portate il valore del parametro da 2 a 0 e confermate cliccando su “OK”.
D’ora in poi Firefox invia richieste HTTP senza referrer.
Tabella dei possibili valori per il parametro network.http.sendRefererHeader:
| Valore | Significato |
|---|---|
| 0 | Non inviare mai URL referrer |
| 1 | Inviare URL referrer solo quando viene cliccato sui link |
| 2 | Inviare URL referrer solo quando viene cliccato sui link e sulle risorse associate (es: immagini, script, CSS, ecc.) |
Fate attenzione, i browser non inviano informazioni di referrer solamente quando viene effettuato l’acceso a un sito web. Il referrer viene solitamente anche trasmesso quando vengono richieste risorse delle sue pagine web come immagini, script o CSS da server esterni.
Inoltre Firefox offre la possibilità di disattivare la trasmissione del referrer solamente a siti di terze parti.
In questo caso lasciate il valore del parametro network.http.sendRefererHeader a 2 e mettete invece mano al parametro network.http.referer.XOriginPolicy. Potete scegliere tra le seguenti opzioni:
| Valore | Signifacto |
|---|---|
| 0 | Inviare sempre URL referrer (opzione standard) |
| 1 | Inviare URL referrer solo quando il nome del dominio del server coinvolto coincide. |
| Esempio: nel caso di un link di mail.example.com a www.example.com il referrer viene inviato. | |
| 2 | Inviare referrer solo quando il nome dell’host del server coinvolto coincide. |
| Esempio: nel caso di un link di mail.example.com a www.example.com il referrer non viene inviato. |
Google Chrome
Il browser di Google non offre alcuna interfaccia per la configurazione delle funzioni legate al referrer, ma all’avvio del programma Chrome trasmette un comando che disattiva la funzione referrer. La procedura è la seguente:
- Creare un collegamento: per prima cosa creare un collegamento con Chrome. Inserite quindi il nome del programma nel campo di ricerca del menu Start e cliccate con il tasto destro sull’icona di Chrome.
Cliccate dunque su “Invia a” nel menu contestuale e scegliete “Desktop (Crea collegamento)”.
- Adattare le caratteristiche: cliccate con il tasto destro sul collegamento appena creato e scegliete “Proprietà”.
All’interno della tab “Collegamento”, nel campo “Destinazione” vi viene mostrato il percorso per arrivare al file. Aggiungete a tale percorso la dicitura –no-referrers. Il risultato dovrebbe essere il seguente:
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-referrers
Salvate le opzioni con un clic su “Applica”.
Aprite Chrome con un doppio clic sul collegamento appena creato sul Desktop. D’ora in poi le richieste HTTP vengono inviate senza referrer.
Disattivando completamente la funzione referrer del browser, alcune funzioni dei siti web da voi visitati non saranno probabilmente più a disposizione.
Il browser di Apple Safari e Microsoft Edge non mettono ancora a disposizione degli utenti alcuna possibilità di configurare la funzione referrer manualmente.
HTML5: noreferrer nell’attributo rel
Con l’introduzione al nuovo standard HTML, dal 28 ottobre 2014 i gestori di siti web si sono trovati molte più possibilità attraverso le cosiddette relazioni di link per definire i collegamenti ipertestuali. Tra queste vi è anche la parola chiave noreferrer, che in combinazione con l’attributo rel può essere utilizzato negli elementi a e area.
<a rel="noreferrer" href="www.example.com">Anonym zu example.com</a>
Impostando l’attributo rel con la keyword noreferrer in un link in uscita, tutti i browser che supportano questa funzione vengono istruiti di sottoporre la richiesta HTTP al link di destinazione senza fornire il referrer. La parola chiave noreferrer nell’attributo rel è sempre più comunemente sopportata dalle versioni recenti dei browser più utilizzati.
Inoltre i gestori di siti web possono disattivare il referrer per tutti i link in uscita con una singola riga di codice nell’header del documento HTML:
<meta name="referrer" content="no-referrer">
Tuttavia questa funzione non è ancora diventata uno standard e perciò non è ancora pienamente supportata da tutti i browser.
Articoli simili
Referrer spam: modelli di attacco e contromisure
Il vostro sito web riceve grandi flussi di traffico da pagine sospette? Non c’è nulla di cui preoccuparsi! I gestori di siti web incontrano continuamente incogruenze nei rapporti degli strumenti di analisi più famosi quali Google Analytics, Piwik o etracker. Il motivo: il referref spam falsifica le statistiche dei visitatori. Scoprite come gli hacker manipolano le informazioni sul referrer e i…
Sistemi iperconvergenti: un data center compatto
Grazie ai sistemi iperconvergenti, il classico data center potrebbe essere drasticamente ridotto. Eliminando infrastrutture molto complesse e snellendo gli ambiti operativi, il reparto IT delle aziende risulterebbe più efficiente, dinamico e anche più economico. Ciò è possibile grazie ad hardware standard già pronti all’uso e a una virtualizzazione completa. Ma che cosa si nasconde dietro questo…
SSL Strip: nozioni di base e possibilità di protezione
La trasmissione dati tramite SSL/TLS rientra tra i mezzi più efficaci per conferire a un progetto web una maggiore sicurezza. Prima ancora che vengano inviati i pacchetti, gli algoritmi performanti si occupano della crittografia delle informazioni. Se terzi intercettano i dati durante la trasmissione, il vero contenuto sarà nascosto. Diventa però problematico quando l’hacker entra in azione con i…
Il processo “Playboy“ limita la libertà dei collegamenti
La libertà dei collegamenti online non è poi così illimitata: questo è quanto ha reso ufficiale la Corte di giustizia dell’Unione europea con la propria sentenza dell’8 settembre 2016. I gestori di siti web che utilizzano gli hyperlink a fini commerciali sono costretti a verificare la legittimità dei contenuti online verso i quali creano un collegamento. Al contrario, dagli utenti privati tale…
