Comprueba la privacidad de tu página web o tienda online.

Referrer Policy, las cabeceras HTML que nos permiten reducir el rastreo, para evitar que pirateen tu página Web o reconozcas las amenazas al navegar por Internet

Si quieres comprobar cómo tiene tu página web configuradas sus cabeceras en cuanto a la privacidad, podemos hacerlo fácilmente realizando un consulta en la web Comprobar cabeceras Referrer Policy.

Introduce la dirección o url de tu web para analizar y pulsa «SCAN». En unos segundos, esta web nos dirá cómo está configurada la página web por dentro en cuanto al bloqueo del seguimiento.

Estas cabeceras están recomendadas por la W3C desde el 26 de enero de 2017, por lo que el número de páginas web que ya cuentan con estas cabeceras es bastante pequeño, aunque se espera que, poco a poco, cada vez vaya siendo mayor. También dependiendo de tu estrategia web algunas necesites que estén o no activas.

Como veras en el ejemplo siguiente en nuestra paginas web hay ciertas que están desactivadas, por ciertos motivos.

Parámetros de la cabecera «ReferrerPolicy»

A la hora de configurar esta cabecera podemos asignarla 9 parámetros diferentes, los cuales vamos a ver a continuación.

• «» Este parámetro vacío indica que, aunque la cabecera esté declarada, no se quiere utilizar ninguna Referrer Policy, por lo que el rastreo y el seguimiento serán los de siempre.
• no-referrer: este parámetro indica que nunca se envíe el origen del visitante al acceder a un link. De esta manera, todos los usuarios que llegan a una web desde otra configurada como no-referrer aparecerán con el origen NULL. Si aplicas esta política de referencia en tus enlaces, se omite el encabezado por completo, y no envías ninguna información.
• no-referrer-when-downgrade: este parámetro hará que el navegador no envíe seguimiento cuando vayamos a visitar una web HTTP desde una HTTPS, aunque siempre se enviará cuando no sea así, es decir al mismo nivel de seguridad, aplicándose tanto a enlaces internos como externos.
  • Por ejemplo:- Desde un enlace HTTPS hacia otro enlace HTTPS, se envía información de referencia. (https://bloguno/noticias ⇒ https://pacoarmero.com/blog/)
    – Desde enlace HTTPS a enlace HTTP, no envía información de referencia. (https://posicionamientodigital.es/blog/ ⇒ http://pacoarmero.com/blog/)
    – Desde enlace HTTP a enlace HTTP, se envía información de referencia. (https://posicionamientodigital.es/blog/s ⇒ http://pacoarmero.com/blog/)
• same-origin, solo enviará el origen cuando el destino y el origen sean el mismo, por ejemplo, de una web HTTPS a una subweb de la misma también con HTTPS.
  • Por ejemplo:- Desde un enlace HTTPS hacia otro enlace HTTPS de la misma web, se envía información de referencia. (https://posicionamientodigital.es/que-hosting-servidor-o-alojamiento-necesito-para-una-tienda-online/ ⇒ https://posicionamientodigital.es/cumple-tu-tienda-online-con-el-cumplimiento-legal/)
    – Desde un enlace HTTP hacia otro enlace HTTP de la misma web, se envía información de referencia. (http://posicionamientodigital.es/que-hosting-servidor-o-alojamiento-necesito-para-una-tienda-online/ ⇒ http://posicionamientodigital.es/cumple-tu-tienda-online-con-el-cumplimiento-legal/)
    – Desde enlace HTTP hacia otro enlace HTTP de distinta web, no envía información de referencia en ningún caso. (https://posicionamientodigital.es/que-hosting-servidor-o-alojamiento-necesito-para-una-tienda-online/ ⇒ https://posicionamientodigital.es/cumple-tu-tienda-online-con-el-cumplimiento-legal/)
• origin: cuando accedamos a un enlace nos mostrará la URL principal de la página desde la que hemos accedido, pero no la URL completa a la subpágina que estábamos visitando.
  • Por ejemplo:Desde el enlace origen https://posicionamientodigital.es/blog/ a https://posicionamientodigital.es/cumple-tu-tienda-online-con-el-cumplimiento-legal/ , envía lo siguiente: https://posicionamientodigital.es
• strict-origin: igual que la anterior, pero solo para conexiones HTTPS. Solo envía el origen como referencia cuando el nivel de seguridad del protocolo se mantenga igual (HTTPS → HTTPS), en ningún caso lo enviará a un destino menos seguro (HTTPS → HTTP). Las conexiones HTTP devolverán un NULL.
• origin-when-cross-origin: se enviará la URL completa en las consultas internas, pero se enviará la URL general cuando sean consultas cruzadas (desde distintas webs o protocolos).
  • – Si el enlace se produce entre páginas del mismo dominio, se envía la URL completa. Ejemplo:desde el enlace origen https://posicionamientodigital.es/blog/ a https://posicionamientodigital.es/cumple-tu-tienda-online-con-el-cumplimiento-legal/ envía la URL: https://posicionamientodigital.es/cumple-tu-tienda-online-con-el-cumplimiento-legal/- Si el enlace se produce entre páginas de distinto dominio, envía la URL de dominio. Ejemplo:desde el enlace https://posicionamientodigital.es/cumple-tu-tienda-online-con-el-cumplimiento-legal/ a https://pacoarmero.com/blog/, envía la URL de dominio origen: https://posicionamientodigital.es- Enlaces que apuntan a otros de menor seguridad, independientemente de si son internos o externos, envía la URL de dominio. Ejemplo:desde https://posicionamientodigital.es/cumple-tu-tienda-online-con-el-cumplimiento-legal/ a http://pacoarmero.com/blog/, envía la URL de dominio origen: https://posicionamientodigital.es
• strict-origin-when-cross-origin: similar a la anterior, pero cuando hay cambio de HTTPS a HTTP se devolverá un NULL, es decir cuando el enlace de destino es menos seguro, nos se envía nada.
  • desde https://posicionamientodigital.es/blog a http://pacoarmero.com/fuentes-de-iconos-gratis-para-diseno-web/, no envía información.
• unsafe-url: siempre se enviará la URL completa independientemente si es HTTPS o HTTP.

¿Cómo ver la cabecera ReferrerPolicy de tu página en Chrome?

Puedes comprobarlas desde tu navegador Google Chrome, sigue las siguientes indicaciones:

1. Abre tu pagina y pulsa boton derecho del ratón y selecciona Inspeccionar.
2. De las  herramientas de desarrollo en Chrome, selecciona Network (red).
3. En el menú horizontal inferior Doc (documentos) y actualiza la pagina o F5.
4. Seleciona tu pagina o url.
5. Pulsa Headers
6. Ya puedes ver toda la información de las cabeceras ReferrerPolicy.

Observarás que puedo acceder a la información Referer donde me indica desde donde ha llegado el enlace.

Esta información puede ser útil, tanto para nosotros como para los atacantes de sitios web, también podemos ver como esta nuestra competencia.

¿Cómo implementar o modificar las «ReferrerPolicy»  o las políticas de referencia y proteger tu web?

Dispones de varias formas de crear o modificar tus «ReferrerPolicy»:

• Añadir una meta etiqueta en la cabecera de tu sitio web, tipo <meta name=»referrer» content=»origin-when-cross-origin»>
• Añadir el código en el archivo header.php de tu tema, si usas WordPress.
• Mediante enlaces personalizados en nuestro contenido html.
  • <a href=»https://posicionamientodigital.es» referrerpolicy=»origin»> 
  • <a target=»_blank» rel=»noopener noreferrer» href=»https://pacoarmero.com»> (ideal para enlaces externos en otra ventana)
• Creando un código JavaScript, del tipo:
  • var meta = document.createElement(‘meta’);
    meta.name = «referrer»;
    meta.content = «no-referrer»;
    document.getElementsByTagName(‘head’)[0].appendChild(meta);
• Editar el archivo .htaccess y añade  lo siguiente:
  • # Inicio Seguridad
    <IfModule mod_headers.c>
    Header always set Referrer-Policy «origin-when-cross-origin»
    </IfModule>
    # Final Seguridad

Referencias:

• Mozilla Developer
• W3C Referrer Policy
• Secure your web application with these HTTP headers
• How to Fix a Missing Referrer Policy
• How to secure Web application headers with Nginx.

¿Configuras las cabeceras de tu web para securizar? ¿Optimizas el SEO de tu web mejorando la seguridad?

Es imprescindible la seguridad web para cualquier pagina o tienda online que quiera ofrecer una experiencia segura a sus visitantes y desee alcanzar las primeras posiciones  en Google.

Tienes que combinar las diferentes medidas de seguridad, así reforzarás la confianza de tus usuarios con una web segura. Son medidas imprescindible que no debes pasar por alto, ya que sobre todo incrementarás el tráfico web cumpliendo con los requisitos para Google y mejorarás tu posicionamiento SEO.

Desde Posicionamiento Digital te recomendamos cumplir con todos los requisitos de seguridad posibles.

Escríbenos si necesitas soporte y te ayudamos a mejorar tu trafico web.

Optimizamos el rendimiento de tu Web