Vasa webova stranka môže nevedome zdielat citlive informácie o navstevnikoch s tretiomi stranami. Referrer-Policy a Permissions-Policy tomu zabránia.
Keď návštevník klikne na odkaz z vašej stránky na inú stránku, prehliadač automaticky pošle hlavičku Referer — plnú URL adresu stránky, z ktorej prichádzal. Toto sa deje pri kazdov kliknuti, kazdov obrazku a každom skripte z externého zdroja.
URL adresy často obsahuju citlive informácie. Pozrime sa na reálnu prax:
Bez správnej Referrer-Policy tretia strana — analytická služba, reklamná sieť alebo sociálna sieť — dostane plnu URL vrátane parametrov. To môže obsahovat:
Referrer-Policy: strict-origin-when-cross-origin
Tato politika posle len doménu (nie plnu cestu) pri navigácii na cudziu stránku, a plnu URL len v ramci vašej vlastnej domény. Je to najlepsi kompromis medzi funkcionaltou a sukromim. Pre maximalne súkromie pouzite no-referrer.
V roku 2023 britsky ICO pokutoval zdravotnu spoločnosť za únik URL adries obsahujucich údaje o zdravotnom stave pacientov cez Referrer hlavičku do Google Analytics a Facebook Pixel. Pokuta: £140,000. URL obsahovali diagnostické kódy a mená pacientov.
Permissions-Policy (drevnejsie Feature-Policy) určuje, ktoré funkcie zariadenia môže vas web a vlozene treti-stranny obsah používať. Ide o: kameru, mikrofon, geolokalizaciu, akcelerometer, autoplay, platobné rozhranie a ďalšie.
Bez Permissions-Policy môže lubovolny skript na vašej stránke — vrátane skriptov z externych zdrojov (reklamy, analytika, chat widgety) — požiadať o prístup ku kamere, mikrofónu alebo polohe vášho návštevníka.
camera=() znamená: „Žiadny skript na tejto stránke nemôže pristupovať ku kamere.“ Ak váš web kameru nepotrebuje, nie je dôvod ju povoľovať.
Google FLoC (Federated Learning of Cohorts) a jeho nastupca Topics API zaraďujú návštevníkov do záujmových skupín na základe ich prehliadania. Nastavením `interest-cohort=()` zabránite, aby vaša stránka bola použitá na profilovanie vašich návštevníkov v reklamnom ekosystéme Google.
GDPR v Clanku 5 ods. 1 písm. c) vyžaduje minimalizaciu dat: spracuvavajte len data, ktoré sú nevyhnutne pre dany ucel. Referrer-Policy a Permissions-Policy sú technickými implementáciami tohto princípu.
Ked vaša stranka odosiela plne URL tretim stranam alebo povoľuje prístup k mikrofónu pre všetky skripty, spracuvava viac dat, nez je nevyhnutne. To je porušenie princípu minimalizácie a môže byt predmetom konania urad na ochranu osobnych údajov.
Článok 25 GDPR vyžaduje ochranu sukromia už od navrhu. To znamena, ze bezpečnosťne hlavicky nie sú „bonus“, ale zakonny požiadavok. Prevádzkovateľ musí implementovať technické opatrenia, ktoré minimalizuju spracuvanie osobnych údajov. Referrer-Policy a Permissions-Policy sú presne také opatrenia.
GDPR pokuty nie sú len pre veľké korporácie. Slovensk Urad na ochranu osobnych údajov v roku 2024 udelil pokuty od 2,000 EUR do 50,000 EUR malým a stredným podnikom za nedostatočné technické opatrenia. Chybajuce bezpečnosťne hlavicky sú jednoducho preukázatelne pochybenie.
Okrem pokut hrozi aj civilna zodpovednost: dotknut osoba môže ziadana nahradu skody za unik osobnych údajov. Podľa GDPR Clanku 82 neexistuje horny limit nahrady.
Každý externý zdroj na vašej stránke (obrázky, skripty, reklamy) dostáva plnú URL adresu vášho návštevníka. Ak URL obsahuje osobné údaje, tokeny alebo citlivé parametre, zdielate ich s tretimi stranami bez suhlasu používateľa. To je porusenie GDPR Clanku 5 a 25.
Lubovolny externy skript na vašej stránke môže poziadat o prístup ku kamere, mikrofonu, geolokacii a dalsim zariadeniam. Supply chain útoky na externý JavaScript (CDN, chat widget, analytika) môžu zneužiť tieto povolenia bez vášho vedomia.
| Framework | Článok / Kontrola | Poziadavok |
|---|---|---|
| GDPR | Článok 25 ods. 1 | Ochrana súkromia už od návrhu (Privacy by Design) |
| GDPR | Článok 25 ods. 2 | Ochrana súkromia v predvolenom nastavení (Privacy by Default) |
| GDPR | Článok 5 ods. 1 písm. c) | Minimalizácia dát — spracúvanie len nevyhnutných dát |
| ePrivacy | Článok 5 ods. 3 | Suhlas s pristupom k zariadeniu koncoveho používateľa |
| CCPA | Section 1798.100 | Právo vedieť o zbieraní a zdieľaní osobných údajov |
Náš audit skontroluje Referrer-Policy aj Permissions-Policy. Zistite, ci vas web nevedome zdielal citlive data.
Spustiť audit