Google Chrome للتخفيف من "التنقل بين علامات التبويب" عن طريق حظر عمليات إعادة التوجيه في علامات التبويب أو النوافذ الجديدة

يحصل Google Chrome على إجراء أمني جديد من شأنه أن يخفف من "فصل علامات التبويب" عن طريق حظر عمليات إعادة التوجيه في علامات التبويب أو النوافذ الجديدة.

ربما تكون قد لاحظت أحد السلوكين عند النقر على الروابط الموجودة على أي موقع ويب - إما أن يتم فتح الرابط في نفس علامة التبويب، أو يتم فتحه في علامة تبويب/نافذة جديدة. يمكن لمؤلفي مواقع الويب التحكم في هذا السلوك عن طريق إضافة الهدف = "_ فارغ" السمة إلى عناوين URL التي يرغبون في فتحها في علامة تبويب جديدة. تقوم هذه السمة بتوجيه المتصفح لفتح الرابط في علامة تبويب جديدة عند النقر عليه. ولكن السمة لديها مشكلة أمنية معروفة يتيح للصفحات المفتوحة حديثًا استخدام JavaScript لإعادة توجيهك إلى عنوان URL مختلف. يشكل هذا تهديدًا خطيرًا، حيث من المحتمل أن يكون عنوان URL المُعاد توجيهه عبارة عن موقع ويب محمّل بالبرامج الضارة أو صفحة تصيد احتيالي. ولمعالجة هذه المشكلة، يحصل Google Chrome على إجراء أمني جديد.

كما جاء في تقرير حديث من BleepingComputer يوضح أنه يمكن لمؤلفي مواقع الويب بالفعل منع علامات التبويب الجديدة من استخدام JavaScript لإعادة التوجيه إلى عنوان URL مختلف باستخدام

ريل = "noopener" سمة رابط HTML. ومع ذلك، يتعين عليهم إضافة السمة يدويًا إلى كل رابط باستخدام السمة target="_blank". مرة أخرى في عام 2018، أبل أجرى تغييرا في Safari والذي يتضمن تلقائيًا سمة noopener على روابط HTML التي تستخدم الهدف = "_blank". وبفضل هذا، يقوم المتصفح تلقائيًا بتأمين علامات التبويب الجديدة حتى لو لم يستخدم المؤلف السمة rel = "noopener". في الأسبوع الماضي، مطور Microsoft Edge إريك لورانس نفذت نفس الميزة في الكروم. وهذا يعني أنه سيتم تقديمه أيضًا في جميع المتصفحات المستندة إلى Chromium، مثل Microsoft Edge وGoogle Chrome وBrave والمزيد.

وفي تعليق بخصوص الإجراء الأمني، قال لورانس:

"للتخفيف من هجمات "إخفاء علامات التبويب"، حيث يمكن لعلامة تبويب/نافذة جديدة يتم فتحها بواسطة سياق الضحية التنقل في تلك الفتحة السياق، تم تغيير معيار HTML لتحديد نقاط الارتساء التي يجب أن يتصرف بها target_blank كما لو كان |rel="noopener"| يكون تعيين. قد تقوم الصفحة التي ترغب في إلغاء الاشتراك في هذا السلوك بتعيين |rel="opener"|."

يتم تمكين الإجراء الأمني ​​الجديد حاليًا في قناة Chrome Canary ومن المتوقع أن يشق طريقه إلى القناة الثابتة مع Chrome 88 في يناير من العام المقبل. كما ذكرنا سابقًا، ستتضمن الميزة بشكل أساسي سمة "noopener" على روابط HTML التي تستخدمها target="_blank" ومنع الصفحات من استخدام JavaScript لإعادة التوجيه إلى صفحة جديدة، ما لم يتم تحديد ذلك خلاف ذلك.

يأتي هذا الإجراء الأمني ​​الجديد بعد أيام قليلة من قيام Google بتصحيح اثنتين من نقاط الضعف في Chrome. يمكنك قراءة المزيد عن هذه الثغرات الأمنية من خلال المتابعة هذا الرابط.