Google Chrome за смекчаване на „задържането на раздели“ чрез блокиране на пренасочвания в нови раздели или прозорци

кратки новини за XdaNov 13, 2023
click fraud protection

Google Chrome получава нова мярка за сигурност, която ще смекчи „задържането на раздели“, като блокира пренасочванията в нови раздели или прозорци.

Може да сте наблюдавали едно от двете поведения, когато щраквате върху връзки на който и да е уебсайт - връзката или се отваря в същия раздел, или се отваря в нов раздел/прозорец. Авторите на уебсайтове могат да контролират това поведение, като добавят цел = "_ празно" атрибут на URL адреси, които искат да отворят в нов раздел. Този атрибут насочва браузъра да отвори връзката в нов раздел при щракване. Но атрибутът има a известен проблем със сигурността което позволява на новооткритите страници да използват JavaScript, за да ви пренасочат към различен URL адрес. Това представлява сериозна заплаха, тъй като пренасоченият URL адрес може да бъде уебсайт, зареден със зловреден софтуер или фишинг страница. За да се справи с това, Google Chrome получава нова мярка за сигурност.

Като скорошен доклад от BleepingComputer обяснява, авторите на уебсайтове вече могат да попречат на новите раздели да използват JavaScript за пренасочване към различен URL, като използват

rel="noopener" Атрибут на HTML връзка. Те обаче трябва ръчно да добавят атрибута към всяка връзка с атрибута target="_blank". През 2018 г. Apple направи промяна в Safari, което автоматично загатва атрибута noopener за HTML връзки, които използват target="_blank". Благодарение на това браузърът автоматично осигурява нови раздели, дори ако авторът не е използвал атрибута rel="noopener". Миналата седмица разработчикът на Microsoft Edge Ерик Лорънс реализира същата функция в Chromium. Това означава, че ще бъде въведен и във всички браузъри, базирани на Chromium, като Microsoft Edge, Google Chrome, Brave и др.

В коментар относно мярката за сигурност Лорънс заяви:

„За смекчаване на атаки с „откриване на раздели“, при които нов раздел/прозорец, отворен от контекст на жертва, може да навигира в този инструмент за отваряне контекст, HTML стандартът е променен, за да посочи, че котвите, които target_blank трябва да се държат така, сякаш |rel="noopener"| е комплект. Страница, която желае да се откаже от това поведение, може да зададе |rel="opener"|."

Новата мярка за сигурност в момента е активирана в канала на Chrome Canary и се очаква да си проправи път към стабилния канал с Chrome 88 през януари следващата година. Както споменахме по-рано, функцията по същество ще включва атрибута "noopener" на HTML връзки, които използват target="_blank" и не позволява на страниците да използват JavaScript за пренасочване към нова страница, освен ако не е посочено в противен случай.

Тази нова мярка за сигурност идва само дни след като Google коригира две уязвимости от нулев ден в Chrome. Можете да прочетете повече за тези уязвимости, като следвате тази връзка.