「Firefox 87」からはプライバシー保護のために新たなリファラポリシーが採用される

Mozillaが開発するFirefoxには、リダイレクトトラッカーをブロックする機能やトラッキング防止機能「State Partitioning」などの、ユーザーのプライバシーを保護する機能が多く搭載されています。2021年3月23日にリリース予定の「Firefox 87」からは、リファラに含まれる情報を削減するポリシーが標準で有効化されるようになります。

Firefox 87 trims HTTP Referrers by default to protect user privacy - Mozilla Security Blog
https://blog.mozilla.org/security/2021/03/22/firefox-87-trims-http-referrers-by-default-to-protect-user-privacy/

「リファラ」とは、ウェブサイトに訪問したユーザーが「どのウェブサイトのリンクから訪問してきたか」を表す情報です。Firefoxはこれまで、「no-referrer-when-downgrade」というリファラポリシーを採用しており、HTTPSページからHTTPページへ移動する場合のみリファラを送信せず、それ以外の場合はリファラを送信していました。

Mozillaによると、「no-referrer-when-downgrade」は、暗号化が必要なページにのみHTTPSが採用されていた時代には一定のプライバシー保護効果があったとのこと。しかし記事作成時点では、多くのウェブサイトがHTTPSに対応しているため、異なるポリシーを採用する必要が生じました。

そこで、2021年3月23日にリリース予定のFirefox 87からは、リファラポリシーとして「strict-origin-when-cross-origin」が採用されることになりました。このポリシーでは、同一ウェブサイト内を移動する場合はこれまで通りリファラが送信されますが、異なるサイト間を移動する場合は、リファラの一部分のみを送信します。

Mozillaが用意したリファラポリシーの変更を解説する図はこんな感じ。「https://example.com/path?query」というURLのサイトから異なるサイトに移動する場合、Firefox86まで採用されていたポリシー「no-referrer-when-downgrade」では、リファラとして「https://example.com/path?query」を送信していました。しかし、新たに採用される「strict-origin-when-cross-origin」では、「https://example.com/」と、ドメイン部分のみをリファラとして送信します。

また、「strict-origin-when-cross-origin」では、HTTPSページからHTTPページへ移動する場合は、これまで通りリファラが送信されません。Mozillaは「新たなポリシーを採用することで、プライバシー性がより高いブラウジングを体験できるようになります」と述べています。

なお、リファラポリシーの変更はfirefox87にアップデートすると自動で行われるため、ユーザーが設定を行う必要はないとのことです。