¿Qué es la política de referencia (Referrer Policy) en la Web?

Por Carlos 2 semanas atrásSin comentarios
Inicio  /  Diseño Web  /  ¿Qué es la política de referencia (Referrer Policy) en la Web?
¿Qué son la política de referencia (Referrer Policy) en la Web?

Te interesa conocer qué es la política de referencia para evitar que pirateen tu página Web o reconozcas las amenazas al navegar por Internet.

Internet se compone de un gran número de elementos que deben complementarse para que la experiencia de los usuario sea satisfactoria; uno de los elementos más importantes es la seguridad.

Desde que este medio se popularizó, se ha luchado para ofrecerle seguridad a los que navegan por páginas Web de todo tipo y no se puede decir que nos hemos quedado cortos en los esfuerzos, después de todo, hoy en día Internet es un lugar más seguro.

Desde las mejoras en el protocolo para enviar y recibir información entre navegadores y sitios Web, hasta sistemas más sofisticados para registro y verificación de usuarios, pasando por regulaciones para el uso de la información de los usuarios, hoy podemos sentirnos verdaderamente seguros, aunque de vez en cuando se dan eventos que atentan contra esa sensación de protección.

Cada vez que abres un enlace, se envía información y ese momento puede ser aprovechado por hackers para robar datos o para que veas contenido distinto al que estabas interesado en un principio. Si eres dueño de una página Web te conviene saber cómo fortalecer tu sitio para evitar que sea hackeado; si eres usuario también te interesa, pues reconoces las amenazas a las que estás expuesto.

Mejorar la seguridad puede ser tan sencillo como conocer cómo funcionan las políticas de referencias en la Web y aplicarlas según sea el caso.

¿Qué son la política de referencia (Referrer Policy) en la Web?

¿Por qué me debe importar?

La verdad es que, aunque no te des cuenta, tu ayudas a fortalecer la seguridad en Internet. Si tienes una página Web bien segura, entonces los hackers van a tener menos oportunidades de actuar y si eres consumidor de Internet, el conocimiento de las prácticas más comunes te va a ayudar a tomar acciones preventivas cuando navegues.

Adicionalmente, veremos que las políticas de referencia Web no solo afectan la seguridad, sino que su uso inadecuado puede causarte problemas a la hora de dar lectura a los análisis del comportamiento de tu página Web.

Cambios en WordPress sobre políticas de referencia

Estas políticas de referencias en la Web han venido implementándose desde hace mucho, pero quizá fue cuando se actualizó el sistema de WordPress a la versión 4.7.4 que se hizo popular entre los desarrolladores y propietarios de sitios Web.

La razón por la que se hizo un tema de conversación es que, al analizar el comportamiento de la página Web, podíamos ver que mucho del tráfico aparecía sin información de la referencia.

¿Qué es una referencia Web?

Te lo explico sencillo, la referencia Web es el lugar desde donde sale el enlace. Por ejemplo, si el enlace sale de una red social, en tu página de análisis debe salir una URL de esa red social. Lo que llamó la atención con la actualización de WordPress es que muchas referencias se perdían en el camino.

Debo aclarar una cosa, se perdían las referencias, pero no el enlace, es decir, lo que se perdía era el conocimiento de la fuente, del origen. También debes saber que esto solo afecta a los enlaces configurados para abrirse en una nueva pestaña del navegador (target=_blank).

Ya te puedes imaginar lo inconveniente de esto, pues muchos usamos esas referencias para determinar si nuestras campañas de publicidad están dando resultados o si nos están enlazando desde sitios nocivos.

¿Por qué se estaban perdiendo las referencias?

Porque el sistema de edición de texto que usa WordPress estaba configurando los enlaces, y aún lo está, con el atributo “noopenner noreffer”, que, resumiendo, elimina todo rastro de la referencia.

Hasta aquí debes saber que todos los enlaces que se envíen con esa política no envían información de la referencia, no es algo exclusivo de WordPress.

¿Por qué pasaba esto? (y aún pasa)

Por cuestiones de seguridad, resulta que si no tienes esta configuración, o alguna parecida, cada vez que colocas un enlace en tu sitio Web con la opción de apertura en otra pestaña, estabas pasando información que podía ser usada por los hackers para manipular lo que ven tus usuarios.

En esencia, el proceso es el siguiente: una persona visita tu página Web, pincha el enlace y se abre en otra pestaña, en ese momento (sin la configuración correcta de las políticas de referencia Web) tenía acceso a manipular la Web de origen (tu página Web, muchas veces inyectando código en JavaScript). También se han visto casos donde se muestra una página muy similar a la tuya con fines múltiples (robo de datos, entre otras cosas).

Como verás el cambio no es negativo, pero si es cierto que para el análisis puede ser un problema, aunque debo decirte que no puedes hacer mucho, pues la configuración de las políticas se hacen en la página Web de origen. Es decir, si tus referencias deciden dejar esa configuración, nunca sabrás de dónde proviene del tráfico (en el caso de enlaces que abren en otra pestaña, es vital notar la diferencia).

¿Cómo sé qué políticas de referencia que existen?

Vamos a ello, ahora te voy a nombrar y explicar un poco de las referencias que se colocan en cabecera para evitar que se envíe información que pueda ser usada para robar datos o alguna otra acción que vaya en contra de la buena experiencia del usuario.

Tipos de políticas de referencias de cabecera

Exigen varios tipos y se aplican de distintas maneras según sea el caso. Te voy a poner las opciones de enlazado que existen para que comprendas las políticas más fácilmente.

En Internet puedes dar con un enlace (link) que:

  • Tengan como origen y destino el mismo sitio (en distintas páginas).
  • Tengan origen en tu sitio y terminen en otro sitio Web.
  • Tengan como origen un nivel alto de seguridad (HTTPS) y destino en un nivel más bajo (HTTP).
  • Tengan origen en HTTP y terminen en HTTPS.

También son válidas las combinaciones, por ejemplo, que sean enlaces de un sitio a otro con degradación del nivel de seguridad.

No-refferer

Si declaras esta política, tus enlaces no pasarán información de la referencia. Es decir, quien recibe el enlace nunca va a saber que tu sitio Web lo ha enviado; además eliminas la problemática con respecto a la seguridad. No debemos confundirlo con “nofollow” pues no se relacionan entre sí.

No-referrer-when-downgrade

Significa que el navegador no va a enviar la información de la referencia si el protocolo está un nivel más abajo.

Por ejemplo. Si el origen del enlace es una página HTTPS y enlaza a una página HTTP, no se enviará información. En el resto de los casos, sí enviará la información, es decir, de HTTPS a HTTPS, dentro y fuera del origen (sitio Web).

Same-origin

En este caso el navegador solo envía la información de la referencia si el enlace lleva a otra página del mismo sitio, en el resto de los casos, no envía la información de la referencia. Es importante acotar que, si pasa de HTTPS a HTTP tampoco envía la información, incluso si el origen (dominio) es el mismo.

Ejemplo:

  • HTTPS://ejemplo.com/pagina1 a HTTPS://ejemplo.com/pagina2 (envía referencia: HTTPS://ejemplo.com/pagina1)
  • HTTPS://ejemplo.com/pagina1 a HTTP://ejemplo.com/pagina2 (no envía referencia por disminución del nivel de seguridad)
  • HTTPS://ejemplo.com/pagina1 a HTTPS://otrapagina.com (no envía referencia por ser de distinto origen)

Origin

El navegador siempre envía el origen de la referencia, pero solo el origen (la raíz del dominio).

Ejemplo:

  • HTTPS://ejemplo.com/pagina1 a HTTPS://ejemplo.com/pagina2 (envía referencia: HTTPS://ejemplo.com)
  • HTTPS://ejemplo.com/pagina1 a HTTP://ejemplo.com/pagina2 (envía referencia: HTTPS://ejemplo.com)
  • HTTPS://ejemplo.com/pagina1 a HTTPS://otrapagina.com (envía referencia: HTTPS://ejemplo.com)

Strict-origin

Se diferencia del anterior porque no envía la información si existe una degradación de la seguridad, es decir si pasa del HTTPS al HTTP.

Origin-when-Cross-origin

En este caso, el navegador envía la información de referencia (URL) solo si es del mismo origen (dentro de un mismo dominio). Si es un enlace a otra página solo envía la raíz del dominio; si existe degradación de seguridad en un mismo origen, solo envía el dominio raíz.

Strict-origin-when-Cross-origin

Funciona como el anterior solo que no envía información de referencia si existe una degradación de HTTPS a HTTP.

Por ejemplo:

  • HTTPS://ejemplo.com/pagina1 a HTTPS://ejemplo.com/pagina2 (no envía referencia)
  • HTTPS://ejemplo.com/pagina1 a HTTP://otrapagina.com (no envía referencia)

Unsafe-url

Con esta política de referencia siempre se va a pasar la información de quien envía el enlace. Está de más decir que es la política menos segura de todas.

Comparando las políticas

Si te fijas existen dos extremos que son muy radicales, uno, dejar que la información de tu sitio se envíe sin importar las condiciones de navegación y, dos, que no se envié ningún tipo de información.

La aplicación de estas políticas de referencia depende del nivel de seguridad que quieras implementar en tu sitio Web, pero siempre es bueno que dejes espacio para que puedan obtener información de tu Web como referencia y que tú puedas obtener la misma información.

Recuerda, de tu parte, lo haces para mejorar la seguridad de tus usuarios, recuerda también que esto solo aplica cuando configuras el enlace para que se abra en otra pestaña del navegador (si, ya sé que lo he repetido anteriormente).

Si eres usuario de Internet

Como te he venido diciendo, esto afecta a todos por igual. Como usuario debes estar atento a la información que compartes en Internet y a la seguridad del sitio. Nunca está de más que verifiques la URL que estás dejando para visitar el enlace y ver si vuelves a la misma, de lo contrario puedes ser víctima de algún pirata del Internet.

Recuerda asimismo que, muchas veces te llevarán a páginas totalmente distintas y quizá te des cuenta, pero en algunos otros casos pueden emular páginas comunes, como redes sociales, y pediré que vuelvas a iniciar sesión.

En Xplora estamos a tu disposición para lo que te podamos ayudar.

¡El conocimiento debe ser compartido! :-)

¿Te gusta nuestro Blog? ¡Pues no te pierdas ni una!

¡Recibe nuestros artículos de ayuda para tu página Web y campañas de marketing digital!

¡Olé! Muchas gracias. Te encantará lo que tenemos para ti, ya verás ya... :-)

Categoría:
  Diseño Web
este artículo ha sido compartido 0 veces
 000

Dejar un comentario

Su dirección de correo electrónico no será publicada.

eBook guía antes de contratar diseño de página Web

Descarga nuestro eBook gratis
Stop! 40 preguntas antes de contratar un diseño Web
¡Contrata al diseñador ideal!

¡Gracias! Acabamos de enviarte un Email con el eBook, ¡y 0% Spam! ;-)

Powered byRapidology