Halleluja, eine sachliche Antwort! Klasse, freut mich!
Zu 1) Stichhaltiges Argument. Ich denke die ganze Referrrer-Thematik ist in den letzten Jahren auch deswegen so hochgekocht, weil die Nutzung von Tracking-Diensten, Zählpixeln usw... extrem zugenommen hat. Außer Google Analytics gibt's auf PuF keine externen Ressourcen, daher ist das hier nicht ganz so relevant. Um den von dir genannten Use-Case abzudecken böte sich dann "strict-origin-when-cross-origin" an. Dann wird an externe Stellen nur die Domain weitergegeben, und nicht die ganze URL, die ggf. sensible Informationen enthält (wie z.B. früher ganz gern die PHP Session ID, als noch viel mit GET gearbeitet wurde).
Zu 2) Gegen den Jigsaw 2.2.5, der aktuell verwendet wird, sehe ich hauptsächlich 2 Argumente.
- Nicht aktueller Patch-Stand, im Changelog auf 2.2.6 ist u.A. von "More SSL and servlet related patches from Thomas Kopp." die Rede. Natürlich muss das nicht gleich ein Einfallstor sein, aber wenn es jemand ausnutzen will(!), dann wird es ihm hier natürlich vergleichsweise leicht gemacht. Ein Diff auf den Source Code und wahrscheinlich tut sich da das ein oder andere Einfallstor auf.
- Das W3C schreibt selbst: "the Jigsaw server is a premier experimental platform for W3C and the Internet community." Jigsaw ist als Experimentierplattform ins Leben gerufen worden. Nichts desto trotz hat er wohl als Webserver die letzten 10-15 Jahre gut funktioniert. Wahrscheinlich war er 2003 auch der einzige, der die PuF-Software ausführen konnte. Aber die Welt hat sich seitdem natürlich weitergedreht. Daher meine Empfehlung, doch mal neuere alternativen zu prüfen, die den Code im besten Falle ohne Änderung ausführen können.
Bevor Wolfgang jetzt noch Bluthochdruck bekommt, belassen wirs aber vielleicht lieber dabei.
